%20%E7%99%BB%E5%BD%95%E5%AE%A1%E8%AE%A1%E8%B7%9F%E8%B8%AA.png)
有没有办法检索 Windows 2008 R2 计算机上特定用户的远程/rdp 登录的审计跟踪/历史记录?
我们的内联网中有一个服务器,该服务器具有一个域范围的用户作为本地管理员,昨天我使用该凭据登录时,我看到...嗯...在已经存在的会话中发生了一些“不愉快”的事情,我想找出在我之前连接和使用该帐户/会话的人是谁...任何可能有助于追踪他实际上是谁的信息 - 例如,启动登录/会话的机器名称等。有什么方法可以检索任何有用的信息吗?
我不是管理员,IT 部门需要一段时间才能做出响应,但我们希望尽快停止该用户/行为,而不是“仅仅”更改密码等。
答案1
您应该能够在安全日志中找到连接机器的 IP 地址。打开服务器上的事件查看器程序,然后检查安全日志(在 Windows 日志文件夹下)。
在右侧,选择过滤器并过滤事件 ID 4624。您必须查看事件,直到找到具有“登录类型:10”的事件。这些事件将显示连接机器的 IP 地址作为“源网络地址”。
您可以通过打开命令提示符并输入 nslookup IPAddress(例如:nslookup 192.168.1.1)来检查计算机名称。请注意,根据您的网络配置,您在日志中找到的 IP 地址可能已重新分配给新计算机,因此在事件发生后这可能不准确。
IP(或机器名称)也可能显示在事件查看器的操作日志中,位于文件夹路径“Application and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager”下。查找 EventID 1149。