今天我到达客户的办公室,Hyper V 服务器已关闭。Windows 事件日志中记录了管理员用户已发送关机命令。我不是唯一有权访问此用户的人。
当请求此命令时,如何找出管理员用户从哪个 IP 登录(我需要查找哪个事件 ID)?
谢谢。
答案1
如果我理解正确,您的问题是“如何找到建立 RDP 连接的 IP?”。
您可以在事件查看器中查看以下日志:Application and Services Logs-> Microsoft-> Windows-> Terminal Services-LocalSessionManager-> Operational,事件 ID21这个日志里应该有你要找的东西。
但是,关闭 Windows 的方法有很多种...查看System事件日志、事件 ID1074在User32源代码中,它应该为您提供有关谁/什么启动关闭的更多详细信息。
答案2
要查找的另一个事件是事件 ID 4624,其登录类型为 10(远程桌面),请参阅此链接了解更多信息:https://system32.eventsentry.com/security/event/4624。
手动查找可能有点繁琐,因此如果您不使用日志解决方案(您可能应该使用),则可能需要为事件查看器设置 XML 查询。一些日志监控解决方案将解析登录和关闭事件,并可以将它们呈现在易于使用的报告中。例如,您还可以在关键服务器关闭或重新启动时收到电子邮件。