• Home
  • Thông báo
  • Kiến Thức
  • Học Tập
  • Hỏi Đáp
  • Văn Thơ
  • STT
  • Giới Thiệu
  • Liên Hệ
No Result
View All Result
Home Hỏi Đáp
[Event Viewer][Log] Theo dõi và phân tích Log của Remote Desktop

event viewer là gì

[Event Viewer][Log] Theo dõi và phân tích Log của Remote Desktop

IEDV by IEDV
29 Tháng mười hai, 2022
in Hỏi Đáp
Share on FacebookShare on Twitter

Event viewer là gì

nhật ký hoạt động của máy tính từ xa là nhật ký hoạt động của kết nối máy tính từ xa, ghi lại các hoạt động của kết nối máy tính từ xa. Là người quản trị hệ thống, bạn không thể bỏ qua những nhật ký này, hãy cùng tìm hiểu những điều phi thường trong thực tế.

Bài viết này có thể được áp dụng khi phân tích nhật ký RDP (Giao thức Máy tính Từ xa) trên Windows Server 2008 R2, 2012/R2, 2016 và Windows Desktop Editions (Windows 10, 8.1 và 7).

Khi người dùng tạo kết nối máy tính từ xa, toàn bộ hoạt động sẽ được lưu trong trình xem sự kiện của cửa sổ. Chúng ta có thể kiểm tra kết nối rdp bằng trình xem sự kiện (eventvwr.msc) và xem chi tiết nhật ký cũng như các sự kiện chính như sau:

  • Kết nối Internet
  • Xác thực
  • Đăng nhập
  • Ngắt kết nối/kết nối lại phiên
  • Đăng xuất

    • 1. Kết nối mạng

    • Kết nối mạng là kết nối từ máy khách thứ cấp đến máy chủ.
    • eventid 1149 (Dịch vụ Máy tính Từ xa: Xác thực người dùng thành công).
    • Ý nghĩa: Có nghĩa là có kết nối rdp từ người dùng nhưng không biết kết nối có thành công hay không.
    • Vị trí nhật ký: Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Trình quản lý kết nối từ xa của dịch vụ đầu cuối>Hoạt động
      • Chi tiết sự kiện cung cấp người dùng, tên miền và địa chỉ IP kết nối với:

        • 2. Xác thực

        • Ý nghĩa: Cho biết việc xác minh có thành công hay không.
        • eventid 4624 (đăng nhập tài khoản thành công): Xác thực thành công.
        • eventid 4625 (đăng nhập tài khoản không thành công): xác thực không thành công.
        • Vị trí nhật ký: cửa sổ -> bảo mật
        • Lưu ý giá trị logontype trong phần mô tả sự kiện:
          • logontype = 10: Tạo phiên mới.
          • logontype=7: Người dùng kết nối lại với một phiên hiện có.

            • Mô tả sự kiện cho biết:

            • Tên tài khoản: tên người dùng.
            • Tên máy trạm: Tên máy tính.
            • Địa chỉ mạng nguồn: địa chỉ ip.

              • Hãy chú ý đến giá trị của targetlogonid, đây là id duy nhất của phiên rdp, giúp theo dõi các hoạt động tiếp theo của người dùng. Tuy nhiên, nếu phiên thứ 3 ngắt kết nối và người dùng kết nối lại, phiên này sẽ được chỉ định một targetlogonid mới (ngay cả khi phiên thứ 3 vẫn giữ nguyên).

              3. Đăng nhập

              • Ý nghĩa: Người dùng đăng nhập vào hệ thống, và sự kiện xảy ra sau khi người dùng được xác thực thành công.
              • eventid 21 (Dịch vụ Máy tính Từ xa: Phiên đăng nhập thành công): Đăng nhập thành công.
              • eventid 21 (Dịch vụ Máy tính Từ xa: đã nhận được thông báo khởi động shell): Màn hình nền đã xuất hiện trong phiên rdp.
              • Vị trí nhật ký: Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Dịch vụ đầu cuối-localsessionmanager -> Hoạt động
              • sự kiện cho biết sessionid là id của phiên thứ ba.

                • 4. ngắt kết nối/kết nối lại phiên

                Các sự kiện ngắt kết nối và kết nối lại có id khác nhau tùy thuộc vào nguyên nhân gây ra ngắt kết nối.

                Vị trí nhật ký: Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Dịch vụ đầu cuối-localsessionmanager -> Hoạt động

                • eventid 24 (Remote Desktop Services: Session Disconnected): Người dùng đã kết thúc phiên đăng nhập.
                • Id sự kiện 25 (Dịch vụ máy tính từ xa: Kết nối lại phiên thành công): Người dùng đã kết nối lại với phiên rdp hiện có.
                • Id sự kiện 39 (Phiên bị ngắt kết nối bởi phiên ): Người dùng kết thúc phiên đăng nhập bằng cách chọn một tùy chọn trên menu thích hợp (thay vì đóng cửa sổ máy khách thứ 3). Nếu id phiên đăng nhập khác, người dùng đã bị ngắt kết nối với người dùng khác (hoặc quản trị viên).
                • eventid 40 (phiên đã bị ngắt kết nối, mã lý do ):
                  • mã lý do 0 (không có thông tin bổ sung): Người dùng đã đóng cửa sổ máy khách thứ cấp.
                  • Mã lý do 5 (kết nối của máy khách đã được thay thế bằng một kết nối khác): Người dùng đã kết nối lại với phiên thứ ba trước đó.
                  • Mã lý do 11 (Hoạt động người dùng bắt đầu ngắt kết nối): Người dùng đã nhấp vào nút Ngắt kết nối trên menu Bắt đầu.
                  • Trong cửa sổ -> nhật ký bảo mật, eventid 4778 (Phiên được kết nối lại với trạm cửa sổ): Người dùng đã kết nối lại với phiên thứ 3 (người dùng được chỉ định id đăng nhập mới).
                  • Trong cửa sổ -> nhật ký bảo mật, eventid 4799 (Phiên bị ngắt kết nối khỏi trạm cửa sổ): Người dùng bị ngắt kết nối khỏi phiên thứ ba.

                    • 5. đăng xuất

                    • Ý nghĩa: Người dùng đăng xuất khỏi hệ thống.
                    • eventid 23 (Dịch vụ máy tính từ xa: Đăng xuất phiên thành công)
                    • Vị trí nhật ký: Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Dịch vụ đầu cuối-localsessionmanager -> Hoạt động
                      • Đồng thời, eventid 4634 (một tài khoản đã bị hủy) cũng xuất hiện trong nhật ký bảo mật.
                      • Trong nhật ký hệ thống, eventid 9009 (Trình quản lý cửa sổ màn hình đã thoát với mã <x>): Tại thời điểm này, người dùng bắt đầu đăng xuất, cửa sổ và trình bao đồ họa bị đóng.

                        • Kết luận

                        Vì vậy, chúng tôi cũng đã xem xét một số nhật ký sự kiện đáng chú ý hữu ích khi giám sát và phân tích các hoạt động liên quan đến Máy tính Từ xa hoặc khi quản trị viên hệ thống phải lấy thông tin người dùng. Đăng nhập vào máy chủ rds bằng,…

                        Nếu bạn có kinh nghiệm xem nhật ký sự kiện, vui lòng bình luận bên dưới để cùng thảo luận.

                        Tài liệu tham khảo

                        1. http://woshub.com/rdp-connection-logs-forensics-windows/
Previous Post

Tiểu sử Trần Đức Bo – thảm họa mạng nổi tiếng nhất MXH hiện nay

 Next Post

Phần mềm quản lý bán hàng đa kênh thông minh nhất hiện nay
IEDV

IEDV

Viện phát triển Giáo dục & Trí tuệ Việt là địa chỉ uy tín trong lĩnh vực giáo dục trẻ em, đặc biệt là chương trình phát triển trí thông minh và kỹ năng mềm.

Bài viết mới

  • Mục tiêu phát triển của kênh trực tiếp bóng đá chất lượng cao Xoilac TV cultureandyouth.org
  • Top 5 bộ phim Hàn xem là khóc năm 2023 
  • Cách Kèo Nhà Cái Giải Mã Chính Xác: Tips Cho Người Chơi Thông Thái
  • Bài Pokdeng và kinh nghiệm chơi hiệu quả chiến thắng
  • Cách phân tích đối thủ trong cá cược bóng đá để đạt kết quả tốt nhất

Bình Luận Nhiều

Thể thơ Thất ngôn tứ tuyệt

Hướng dẫn và ví dụ về công thức mảng

99 STT Thiên Nhiên, Những câu nói hay về cảnh đẹp, phong cảnh

Mục lục

Stt về bờ vai, cần bờ vai tựa vào những lúc mệt mỏi

Review EDU

IEDV

Tin mới nhất

  • Mục tiêu phát triển của kênh trực tiếp bóng đá chất lượng cao Xoilac TV cultureandyouth.org
  • Top 5 bộ phim Hàn xem là khóc năm 2023 
  • Cách Kèo Nhà Cái Giải Mã Chính Xác: Tips Cho Người Chơi Thông Thái
  • Bài Pokdeng và kinh nghiệm chơi hiệu quả chiến thắng
  • Cách phân tích đối thủ trong cá cược bóng đá để đạt kết quả tốt nhất

Thông Tin

  • Giới Thiệu
  • Liên Hệ
  • Chính Sách Bảo Mật
  • go88
  • sunwin
  • hitclub

Website đang trong quá trình thử nghiệm AI biên tập, mọi nội dung trên website chúng tôi không chịu trách nhiệm. Bạn hãy cân nhắc thêm khi tham khảo bài viết, xin cảm ơn! Website đang chờ đăng ký bộ văn hóa thông tin.
© 2023 IEDV 789BET

  • New88

    • No Result
    View All Result
    • Home
    • Thông báo
    • Kiến Thức
    • Học Tập
    • Hỏi Đáp
    • Văn Thơ
    • STT
    • Giới Thiệu
    • Liên Hệ

    Website đang trong quá trình thử nghiệm AI biên tập, mọi nội dung trên website chúng tôi không chịu trách nhiệm. Bạn hãy cân nhắc thêm khi tham khảo bài viết, xin cảm ơn! Website đang chờ đăng ký bộ văn hóa thông tin.
    © 2023 IEDV 789BET

  • New88