Как я могу определить, кто подключен к журналу событий удаленно?

6

Есть ли способ выяснить, какой пользователь и / или какой компьютер удаленно обращается к файлам журналов событий Windows на моем компьютере? Эти доступы блокируют приложения на локальном компьютере и, таким образом, предотвращают их удаление.

Этот доступ отображается в ProcessExplorer как TCP-соединение от mmc.exe на удаленном компьютере до порта 5001 svchost.exe (с запущенной службой «eventlog») на локальном компьютере, но это все, что я могу определить.

Я искал этот ответ во всем, но не нашел ничего особенного, в том числе копания в объектах WMI с помощью PowerShell. Спасибо за любую помощь, которую вы можете предложить.

altruic
источник
В мониторе ресурсов в разделе сети вы можете получить IP-адрес подключенных устройств. или Netstat / a. Какой метод вы применяете, чтобы определить, что именно блокирует приложение?
Psycogeek
Вы пробовали проверять netstat /a для связи? Также здесь может быть использован другой инструмент SysInternals - PSLoggedOn. Это инструмент командной строки, который выводит список пользователей, вошедших в систему как локально, так и через удаленные соединения с ресурсами (например, общие папки, удаленный реестр и т. Д.).
Iszi
Вы пытались открыть Управление компьютером и открыть дерево для Системные инструменты -> Общие папки? Там есть папки для просмотра открытых сессий, а также для тех, у кого есть блокировки на файлы (Open Files).
PotentiallySerious

Ответы:

1

Прежде всего - это может быть не кто-нибудь, получающий доступ к вашим журналам событий удаленно. Файлы журнала событий всегда открыты. Они есть отображенные в память файлы так что вы не можете просто удалить их с диска.
Если вам нужно место на диске, вам нужно открыть eventvwr.msc и измените максимальный размер файла журнала там. Изменение не вступит в силу до следующего перезапуска службы журнала событий (что, вероятно, произойдет при перезагрузке компьютера).
Если вы хотите очистить журналы (то есть удалить данные), вы также можете сделать это в eventvwr оснастка mmc.
Если вам нужно хранить журналы событий в удаляемом файле, вы можете использовать AutoBackupLogFiles ключ реестра, но отображенные в памяти файлы все равно останутся.
Если вы все еще подозреваете, что учетная запись пользователя обращается к журналу событий на вашем компьютере удаленно, и это включает в себя журнал безопасности - вам следует проверить журнал безопасности события с ID 4672 и искать учетные записи, входящие в систему с SeSecurityPrivilege включен.
Если вы не думаете, что к журналу безопасности обращаются, вы все равно можете искать события в журнале безопасности с помощью ID 4624 , который должен показать вам, кто обращался к компьютеру удаленно (но будет включать всех пользователей, а не только тех, кто обращается к журналам событий). Это должно как минимум сузить ваш список подозреваемых.
Вы всегда можете использовать WEVTUTIL добавить аудит SACL в журналы, которые вы считаете являются доступ к Процесс такой же, как и для добавления разрешений (DACL), за исключением того, что вы говорите, какие вещи следует проверять, а не разрешать или запрещать.
Чуть менее элегантно, но когда вы заметите соединение с удаленного IP, вы можете попробовать запустить qwinsta / server: remoteIP , Это покажет вам, кто вошел в систему на этом компьютере, либо локально на консоли, либо через терминальные службы. Не поможет, если пользователь является учетной записью службы или запланированной задачей.

Adam Thompson
источник
0

Вы можете использовать сетевой монитор, чтобы прослушивать входящий трафик на этом конкретном порту, и IP-адрес источника будет отображаться четко. Для этого:

  • Загрузите и установите сетевой монитор от Microsoft на ПК, который получает удаленные подключения. Это бесплатный инструмент.
  • Создайте новый перехват и отфильтруйте входящие tcp-соединения с портом 5001 (это довольно просто настроить, интерфейс дружественный).
  • Начните захват и дождитесь прибытия пакетов, вы увидите исходный IP в поле Source списка. Вы даже можете прослушивать внутри пакетов и проверять, отображается ли подсказка об аутентификации при подключении.
Roberto
источник