今天我到達客戶的辦公室,Hyper V 伺服器已關閉。在 Windows 事件日誌中記錄了管理員使用者已傳送關閉命令。我不是唯一有權訪問該用戶的人。
當請求此命令時,如何找出管理員使用者登入的 IP(我需要尋找什麼事件 ID)?
謝謝。
答案1
如果我理解正確的話,您的問題是「如何找到建立 RDP 連線的 IP?」。
您可以在事件檢視器中查看以下日誌:Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager->Operational,事件 ID21在此日誌中應該是您要找的內容。
然而,關閉 Windows 的方法有很多...查看System事件日誌、事件 ID1074在User32原始程式碼中,它應該為您提供有關誰/什麼發起關閉的更多詳細資訊。
答案2
另一個要尋找的事件是事件 ID 4624,登入類型為 10(遠端桌面),請參閱此連結以了解更多資訊:https://system32.eventsentry.com/security/event/4624。
手動尋找可能有點乏味,因此如果您不使用日誌記錄解決方案(您可能應該這樣做),您可能需要為事件檢視器設定 XML 查詢。一些日誌監控解決方案將解析登入和關閉事件,並可以將它們呈現在易於使用的報告中。例如,每當關鍵伺服器關閉或重新啟動時,您也可以收到電子郵件。