Có nhiều lúc chúng ta muốn thống kê các sự kiện đăng nhập sai, đúng. Hay đơn giản chỉ muốn kiểm tra các máy tính Remote Desktop vào máy chủ, lúc này chúng ta cần sử dụng đến công cụ Event Viewer của Windows.
Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event Viewer theo các Name cụ thể ứng với từng loại log. Trong bài viết này chúng ta sẽ cùng tìm hiểu chi tiết về Event Viewer và cách sử dụng trong từng trường hợp
Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event View theo các Name cụ thể ứng với từng log.
Các trường hợp khi Remote Desktop tới máy chủ Windows có thể sảy ra như sau:
Để xem được các bản ghi về Remote Desktop trên Windows thì ta cần sử dụng công cụ Event View của Windows
Để mở Event viewer ta làm như sau:
Bấm tổ hợp phím Windows+R sau đó nhập eventvwr
Để xem IP đã Remote Desktop ta xem Event ID: 4648
Để xem các thông tin liên quan khác xem Event ID: 4624
Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau:
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.
Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”
Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện có Event ID 4648
Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau:
Network Information:
Network Address: x.x.x.x
Port: 0
Trong đó Network Address là địa chỉ IP của máy tính thực hiện Remote Destop tới máy chủ Windows Server
Để kiểm tra thêm các thông tin khác ta làm như sau:
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.
Trong hộp thoại tiếp theo, nhập dòng 4624 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”
Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop đúng
tại đây ta có thể thấy được những thông tin sau:
Trong đó:
Trên đây là cách tìm nhật ký Remote đúng trong Windows, chúng ta sẽ sang phần tiếp theo, Remote Sai Password
Để xem IP đã Remote Desktop thất bại ta xem Event ID: 140
Để xem các thông tin liên quan khác xem Event ID: 4625
Để kiểm tra IP đã Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau:
Trong Event Viewer chọn Applications and Services Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.
Trong hộp thoại tiếp theo, nhập dòng 140 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”
Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.
tại đây ta có thể thấy được những thông tin sau:
Trong đó:
Lưu ý: trên phần bản tin Log có ghi lại IP đã thực hiện Remote Desktop thất bại vào máy chủ, từ đây có thể trích xuất thông tin để xử lý, phần khoanh đỏ là phần IP Remote thất bại
Trên đây là cách tìm nhật ký Remote thất bại trong Windows, Remote Sai User hoặc password và cách tìm địa chỉ ip đã đăng nhập sai để tiến hành các biện pháp xử lý.
Để tìm tên User được nhập lúc Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau:
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.
Trong hộp thoại tiếp theo, nhập dòng 4625 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”
Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.
Click chuột 2 lần vào EventID 4625
Sẽ thấy một cửa sổ hiện lên, trong phần mô tả có trường Account Name là tên User bị Remote tới
tại đây ta có thể thấy được những thông tin sau:
Trong đó:
Kết Luận
Như vậy trong bài viết này chúng ta đã cùng nhau tìm hiểu và cách thức sử dụng công cụ Event Viewer để tìm nhật ký Remote Desktop đối với những lần Remote thất bại , Remote Sai User hoặc password trong Windows, quan trọng hơn là cách tìm địa chỉ ip đã đăng nhập sai để tiến hành khoanh vùng thực hiện các biện pháp xử lý.
Qua bài viết này MaxServer hi vọng có thể giúp được các bạn phần nào đó hiểu hơn về EventID trong Windows, rất mong nhận được đóng góp của các bạn để bài viết được chất lượng hơn tại phần comment bên dưới
Chúc các bạn thành công !
Article ID: 172
Created: Tue, Aug 30, 2022
Last Updated: Tue, Aug 30, 2022
Author: admin
Online URL: https://huongdan.maxserver.com/article-172.html