我正在尝试找出哪个进程或用户更改了防火墙离开到在。
因此我向 LogParser 发出了一个查询:
SELECT
timegenerated,
EXTRACT_TOKEN(Strings,1,'|') AS Domain,
EXTRACT_TOKEN(Strings,0,'|') AS User,
EXTRACT_TOKEN(Strings,3,'|') AS SessionName,
EXTRACT_TOKEN(Strings,4,'|') AS ClientName,
EXTRACT_TOKEN(Strings,5,'|') AS ClientAddress,
EventID
FROM Security
WHERE timegenerated > '2014-02-18 18:30:00' AND timegenerated < '2014-02-18 18:32:50'
ORDER BY timegenerated DESC
我可以看到以下行(以及许多其他行):
timegenerated Domain User SessionName ClientName ClientAddress EventID
2014-02-18 18:30:07 Enable Windows Firewall Domain NULL NULL NULL 4950
这没什么可说的。我应该做什么才能找出启用防火墙的用户或进程?此用户可能是远程连接,也可能是本地用户。
顺便说一句。来自 logparser 的这些信息现在已经消失了...我应该保存它。
编辑#1,19-02-2014 07:20 UTC:
我进入事件查看器。从那里,在左侧菜单/树上,我单击:Applications and Services Logs-> Microsoft-> Windows-> Windows Firewall With Advanced Security-> Firewall。
然后我可以看到一个用户(这里称为UserNameFooBar)启用了防火墙:
A Windows Firewall setting in the Domain profile has changed.
New Setting:
Type: Enable Windows Firewall
Value: No
Modifying User: DomainName\UserNameFooBar
Modifying Application: C:\Windows\explorer.exe
该记录于 2014 年 2 月 18 日下午 6:30:07。
但是我如何判断:
- 该用户是系统用户(意味着 Windows 使用该用户执行该操作)?
- 该用户是本地连接还是远程连接?