有没有办法找出哪个用户和/或哪台计算机正在远程访问我的计算机的 Windows 事件日志文件?这些访问会锁定本地计算机上的应用程序,从而防止其被删除。
此访问在 ProcessExplorer 中显示为从远程计算机上的 mmc.exe 到本地计算机上的 svchost.exe(运行“eventlog”服务)的端口 5001 的 TCP 连接,但这就是我所能确定的全部。
我到处寻找这个答案,但没有找到任何特别有用的东西,包括使用 PowerShell 挖掘 WMI 对象。感谢您提供的任何帮助。
答案1
首先 - 可能不是任何人远程访问您的事件日志。事件日志文件始终处于打开状态。它们是内存映射文件,因此您不能直接将它们从磁盘中删除。
如果您需要磁盘空间,则需要打开事件监视器并在那里更改日志文件的最大大小。更改直到下次重新启动事件日志服务(可能是在您重新启动机器时)才会生效。
如果您想清除日志(即删除数据),您也可以在事件日志mmc 管理单元。
如果您需要将事件日志保存在可删除的文件中,则可以使用自动备份日志文件注册表项,但内存映射文件仍将保留。
如果您仍然怀疑用户帐户正在远程访问计算机上的事件日志,其中包括安全日志 - 您应该检查安全日志以查找ID 为 4672 的事件,并查找使用以下方式登录的帐户安全权限启用。
如果您认为安全日志不是被访问的日志,您仍然可以使用编号 4624,它应该会显示谁远程访问了计算机(但将包括所有用户,而不仅仅是访问事件日志的用户)。这至少应该会缩小您的嫌疑人名单。
您始终可以使用韦夫图利向日志中添加审计 SACL,您认为是正在访问。该过程与添加权限 (DACL) 的过程非常相似,只是您要指定哪些内容应该被审核,而不是允许或拒绝。
稍微不那么优雅,但是当您注意到来自远程 IP 的连接时,您可以尝试运行qwinsta/服务器:远程IP。这将向您显示谁在该计算机上登录,无论是在本地控制台还是通过终端服务。如果“用户”是服务帐户或计划任务,它将无济于事。
答案2
您可以使用网络监视器嗅探该特定端口上的传入流量,源 IP 将清晰显示。为了做到这一点:
- 下载并安装 Microsoft 的网络监视器到获取远程连接的 PC 中。这是一个免费工具。
- 创建一个新的捕获,并过滤到端口 5001 的传入 tcp 连接(配置非常简单,UI 很友好)。
- 开始捕获并等待数据包到达,您将在列表的“源”字段中看到源 IP。您甚至可以嗅探数据包内部并检查连接时是否显示有关身份验证的提示。