我在一所大学研究所工作。我们使用 Microsoft Windows 7 Enterprise 和一个中央服务器作为我们的基础架构。漫游用户配置文件和共享驱动器驻留在服务器上。
昨天,我们的一台笔记本电脑的内部部件(大概)被偷了。现在我们想调查这件事发生的具体时间,看看是否还有人在研究所里。
我的想法是使用 Microsoft 事件日志并搜索计算机的名称/IP 地址,然后查看服务器何时与工作站失去连接。我必须在哪个类别中查找这些信息,或者这些信息是否已记录?
有没有更好的方法来查明计算机上次上网的时间?
答案1
当客户端与服务器上的 SMB 共享失去连接时,Windows 事件日志中不会写入任何事件。唯一能想到的事件是:
- 由标准/内置 Windows 组件生成,并且
- 记录某种“断开连接”事件
是当计算机从网络上拔下电源时,笔记本电脑是否处于活动的远程桌面会话中。在这种情况下,服务器会将事件写入系统日志,事件 ID56
来自源TermDD
,如下所示:
终端服务器安全层检测到协议流中的错误并已断开客户端连接。客户端 IP:10.84.0.67。
该 IP 地址是客户端(笔记本电脑)的 IP 地址,因此您需要检查 DHCP 服务器以确定您的机器上次分配的 IP 地址。
另一种选择:安全事件
您可能无法找到记录精确的客户端与网络断开连接的时刻(除非你足够幸运,拥有一个集中管理的无线控制器,可以记录所有无线事件,这是一个好主意),但你很有可能可以确定这台机器上次实际连接到网络的时间如果幸运的话,这些信息可能足以在某种程度上有所帮助。
根据服务器的配置方式,某些客户端事件(例如计算机启动期间的服务器访问、用户登录等)可能会导致事件写入服务器上的 Windows 安全事件日志。例如,您可能会发现具有以下 ID 的事件,这些事件确认了目标计算机的活动并提供相应的日期/时间戳:
- 事件 ID 4624 -帐户已成功登录
- 事件 ID 4625 -帐户登录失败
- 事件 ID 4648 -尝试使用显式凭据登录
链接的文章解释了如何解释这些事件。不幸的是,在活跃的网络上可能会出现许多记录此类事件可能会使查找感兴趣的事件的工作变得相当耗时。