بررسی لاگ کلاینتی که در دامین جوین شده باشد

سلام

برای بررسی اینکه کدام کلاینت در یک تاریخ مشخص به سیستم شما ریموت زده است ، می‌توانید از دو روش زیر استفاده کنید:

روش اول: استفاده از Event Viewer در ویندوز کلاینت

Event Viewer را باز کنید: برای این کار، به Start Menu بروید و عبارت "Event Viewer" را جستجو کنید و آن را اجرا کنید.

به Security Logs بروید: در پنجره Event Viewer، به مسیر زیر بروید: Event Viewer (Local) > Windows Logs > Security

فیلتر کردن رویدادها: در پنل سمت راست، روی "Filter Current Log" کلیک کنید. در تب "Logged"، تاریخ و زمان مورد نظر خود را وارد کنید. همچنین می‌توانید در فیلد "Event IDs"، کد رویداد مربوط به ریموت دسکتاپ را وارد کنید (معمولا 4624 برای ورود موفق و 4625 برای ورود ناموفق).

بررسی رویدادها: پس از اعمال فیلتر، لیست رویدادهای امنیتی مربوط به ریموت دسکتاپ در بازه زمانی مشخص شده نمایش داده می‌شود. با بررسی این رویدادها می‌توانید اطلاعات مربوط به کلاینت ریموت زننده را مشاهده کنید

روش دوم: استفاده از ابزار Auditpol در ویندوز سرور

اگر به سرور اکتیو دایرکتوری دسترسی دارید، می‌توانید از ابزار Auditpol برای بررسی لاگ‌های ریموت دسکتاپ استفاده کنید. این روش برای بررسی چندین کلاینت به صورت همزمان مفید است

Command Prompt را به عنوان Administrator اجرا کنید

دستور زیر را برای فعال کردن Auditpol اجرا کنید :

auditpol /set /subcategory:"Logon/Logoff" /success:enable /failure:enable

1. دستور زیر را برای مشاهده لاگ‌های ریموت دسکتاپ اجرا کنید:

   wevtutil qe Security /q:"*[System[EventID=4624 or EventID=4625] and TimeCreated[@SystemTime>='2024-05-08T00:00:00Z' and @SystemTime<='2024-05-09T00:00:00Z']]" /format:text
   

   در این دستور، 2024-05-08 و 2024-05-09 را با تاریخ مورد نظر خود جایگزین کنید

نکات مهم

برای مشاهده لاگ‌های ریموت دسکتاپ، باید Auditpol در سیستم فعال باشد

برای بررسی دقیق‌تر ، می‌توانید از فیلترهای مختلف در Event Viewer یا ابزار Auditpol استفاده کنید