Історія журналу Windows Server [закрита]

Зачинено. Це питання поза темою . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для помилки сервера.

Закрито 3 роки тому .

Я встановив, що хтось увійшов до мого робочого столу, поки я був у відпустці, я вважаю, що це було зроблено через наш сервер від нашого адміністратора, але я не знаю як. Я не прихильний до ІТ, але у мене є сервіси адміністратора на моєму сервері, тому я зрозумів, перш ніж звинуватити ІТ у доступі до свого робочого столу, я побачу, чи був він увійшов на сервер у той самий час, як це було у неробочий час. Чи може хтось надати мені покроковий процес про те, як переглянути попередні входи на сервер 2008

windows windows-server-2008

— надімо
джерело

"звинувачуйте ІТ у доступі до мого робочого столу" - Ви розумієте, що (якщо у вас немає конкретних винятків), що це робиться просто їхня робота?

— HBruijn

Відкрийте програму перегляду подій - натисніть клавішу Windows, введіть Переглядач подій та натисніть Enter, щоб відкрити її.

Перейдіть до журналів Windows -> Категорія безпеки у переглядачі подій.

Шукайте події з ідентифікатором події 4624 - вони представляють успішні події входу.

Прокрутіть униз до журналів до того часу, коли ви вважаєте, що він увійшов у систему та перегляньте його.

Ви можете двічі натиснути на будь-який журнал, щоб відкрити їх, зазвичай ви побачите перший рядок:

"Обліковий запис успішно увійшов."

Потім ще кілька рядків вниз

"Нова реєстрація:

Ідентифікатор безпеки: домен \ користувач

Ім'я облікового запису: користувач "

— Ентоні Форніто
джерело

Зверніть увагу, що ОП застрягла, якщо аудит не був встановлений до інциденту. За замовчуванням це значення встановлено як Ні аудиту в об’єкті групової політики групового контролера домену (GPO) та в локальній політиці робочих станцій та серверів. ( technet.microsoft.com/en-us/library/cc976395.aspx )

— yagmoth555