在 Windows 事件日志中查找与共享驱动器的连接事件

Question

当客户端与服务器上的 SMB 共享失去连接时，Windows 事件日志中不会写入任何事件。唯一能想到的事件是：

是当计算机从网络上拔下电源时，笔记本电脑是否处于活动的远程桌面会话中。在这种情况下，服务器会将事件写入系统日志，事件 ID56来自源TermDD，如下所示：

终端服务器安全层检测到协议流中的错误并已断开客户端连接。客户端 IP：10.84.0.67。

该 IP 地址是客户端（笔记本电脑）的 IP 地址，因此您需要检查 DHCP 服务器以确定您的机器上次分配的 IP 地址。

另一种选择：安全事件

您可能无法找到记录精确的客户端与网络断开连接的时刻（除非你足够幸运，拥有一个集中管理的无线控制器，可以记录所有无线事件，这是一个好主意），但你很有可能可以确定这台机器上次实际连接到网络的时间如果幸运的话，这些信息可能足以在某种程度上有所帮助。

根据服务器的配置方式，某些客户端事件（例如计算机启动期间的服务器访问、用户登录等）可能会导致事件写入服务器上的 Windows 安全事件日志。例如，您可能会发现具有以下 ID 的事件，这些事件确认了目标计算机的活动并提供相应的日期/时间戳：

链接的文章解释了如何解释这些事件。不幸的是，在活跃的网络上可能会出现许多记录此类事件可能会使查找感兴趣的事件的工作变得相当耗时。

Answer 1

当客户端与服务器上的 SMB 共享失去连接时，Windows 事件日志中不会写入任何事件。唯一能想到的事件是：

是当计算机从网络上拔下电源时，笔记本电脑是否处于活动的远程桌面会话中。在这种情况下，服务器会将事件写入系统日志，事件 ID56来自源TermDD，如下所示：

终端服务器安全层检测到协议流中的错误并已断开客户端连接。客户端 IP：10.84.0.67。

该 IP 地址是客户端（笔记本电脑）的 IP 地址，因此您需要检查 DHCP 服务器以确定您的机器上次分配的 IP 地址。

您可能无法找到记录精确的客户端与网络断开连接的时刻（除非你足够幸运，拥有一个集中管理的无线控制器，可以记录所有无线事件，这是一个好主意），但你很有可能可以确定这台机器上次实际连接到网络的时间如果幸运的话，这些信息可能足以在某种程度上有所帮助。

根据服务器的配置方式，某些客户端事件（例如计算机启动期间的服务器访问、用户登录等）可能会导致事件写入服务器上的 Windows 安全事件日志。例如，您可能会发现具有以下 ID 的事件，这些事件确认了目标计算机的活动并提供相应的日期/时间戳：

链接的文章解释了如何解释这些事件。不幸的是，在活跃的网络上可能会出现许多记录此类事件可能会使查找感兴趣的事件的工作变得相当耗时。