在一个由 30 台 PC + 1 台教师 PC 组成的子网中,一台 PC 已关闭 2 次。我怀疑学生运行了一些不友好的“shutdown -i”。我已自己连接到该 PC(本地管理员模式),并使用了 eventvwr / windows log / system / filter 1074。我看到了 2 次意外关机的踪迹,我检查了是否指示了启动程序的 IP 地址,但没有报告 IP 地址:“进程 wininit.exe (00 00 00 00 ) 已启动计算机关机...”。
(仅指示了学生离开前发起的最后一次关机的 IP 地址)。
- 我怎样才能追踪发起这些关机操作的人员的 IP 地址或用户 ID?
- 我电脑上的 WireShark 能追踪该 IP 地址吗?
提前致谢,使用我的教师电脑,我可以使用 WireShark 来获取