Windowsでリモートデスクトップ経由で接続したログを見る

クズども · 掲載地 2018/05/07 15:44:05

Windows 2008では:

コントロールパネル - >イベントログ表示 - >イベントビューア(ローカル)>Windowsログ - > セキュリティ、右側のリストにすべてのセキュリティ情報が表示され、その後で見つけられますインシデントIDは4776ですクリックすると、「Source Workstation:」の後に、マシンにログインするWindowsクライアントのホスト名が続きます。

そのほかにも：

Windows2003
リモートログインログを見る場所は基本的に上記と似ていますが、イベントIDはWindows 2008とは異なります，Windows 2003のビューイベントIDは528です「送信元ネットワークアドレス」の後には、マシンにログインするWindowsクライアントのIPアドレスが使われます。

一般的なWindowsイベントIDは以下の通りです

監査ディレクトリサービスアクセス
4934 - Active Directoryオブジェクトのプロパティがコピーされる
4935 - コピーが開始されず失敗
4936 - レプリケーション終了に失敗
5136 - ディレクトリサービスオブジェクトが変更されました
5137 - ディレクトリサービスオブジェクトが作成されました
5138 - ディレクトリサービスオブジェクトが削除されました
5139 - ディレクトリサービスオブジェクトが移動されました
5141 - ディレクトリサービスオブジェクトの削除
4932 - 名前付きコンテキスト用のADのレプリカ同期を開始しました
4933 - 名前付きコンテキストのADのコピー同期が終了しました
監査ログインイベント
4634 - アカウントがキャンセルされました
4647 - ユーザーがログアウトを開始する
4624 - アカウントが正常にログインされました
4625 - アカウントログイン失敗
4648 - 明示的な認証情報でのログイン試み
4675 - SIDがフィルタリングされています
4649 - リプレイ攻撃が発見
4778 - セッションがウィンドウステーションに再接続される
4779 - セッションがウィンドウステーションから切断
4800 – ワークステーションがロックされています
4801 - ワークステーションが解除されています
4802 - スクリーンセーバー有効
4803 - スクリーンセーバーが無効化されています
5378で求められる証明書代表者は、ポリシーで許可されていません
5632 無線ネットワークの検証を要求
5633 有線ネットワークの検証が必要です
監査オブジェクトアクセス
5140 - ネットワーク共有オブジェクトへのアクセス
4664 - ハードリンクの作成を試みる
4985 - 取引状況が変更されました
5051 - ファイルは仮想化されました
5031 - Windows ファイアウォールサービスは、アプリケーションがネットワークからの受信接続を受け取ることを阻止します
4698 - スケジュールされたタスクが作成されました
4699 - スケジュールされたタスクが削除されました
4700 - スケジュールタスクが有効になっています
4701 - 予定されたタスクが無効化される
4702 - スケジュールされたタスクが更新されました
4657 - レジストリ値が修正されます
5039 - レジストリキーは仮想化されています
4660 - オブジェクトが削除されました
4663 - オブジェクトへのアクセスを試みる
監査方針の変更
4715 - オブジェクトの監査ポリシー(SACL)が変更されました
4719 - システム監査方針の変更
4902 - ユーザーごとの監査ポリシーフォームが作成されました
4906 - CrashOnAuditFailの値が変更されました
4907 - オブジェクトの監査設定が変更されました
4706 - ドメインに新たに作成された信託
4707 - ドメインへの信頼が削除されました
4713年 - ケルベロスの方針が変更された
4716 - トラストドメイン情報が修正されました
4717 - システムセキュアアクセス付与アカウント
4718 - システムセキュリティアクセスがアカウントから削除されます
4864 – 名前空間の衝突は削除されました
4865 - トラスト森林情報エントリーを追加しました
4866 - 信頼された森林情報エントリーが削除されました
4867 - トラスト・フォレスト情報エントリーがキャンセルされました
4704 - ユーザー権限の割り当て
4705 - ユーザー権限が削除されました
4714 - 暗号化データ復旧ポリシーのキャンセル
4944 - Windowsファイアウォールが有効になると以下のポリシーが有効になります
4945 - Windowsファイアウォールがオンになったときにルールを含める
4946 - Windowsファイアウォール例外リストへのルール追加修正
4947 - ルール修正によるWindowsファイアウォール例外リストの修正
4948 - ルール削除によるWindowsファイアウォール例外リストの修正
4949 - Windowsファイアウォールの設定がデフォルトに戻されました
4950 - Windowsファイアウォールの設定が変更されました
4951 - このルールは、Windowsファイアウォールにメジャーバージョン番号が認識されていないため無視されています
4952 - メジャーバージョン番号がWindowsファイアウォールに認識されていないため、一部のルールは無視され、残りのルールは適用されます
4953 - Windowsファイアウォールがルールを解決できないためルールが無視される
4954 - Windowsファイアウォールのグループポリシー設定が変更され、新しい設定が使われます
4956 - Windows ファイアウォールがアクティブなプロファイルを変更しました
4957 - Windows ファイアウォールは以下のルールには適用されません
4958 - このルールに関わるエントリは設定されていないため、以下のルールはWindows Firewallには適用されません:
6144 - グループポリシーオブジェクト内のセキュリティポリシーが正常に適用されました
6145 - グループポリシーオブジェクトのセキュリティポリシー処理時に1つ以上のエラーが発生する
4670 - オブジェクトの権限が変更されました
監査特権の使用
4672 - 新規ログインに権限を割り当てる
4673 - 特権サービス要請
4674 - 特権オブジェクトに対する操作を試みる
監査システムのイベント
5024 - Windowsファイアウォールサービスが正常に開始されました
5025 - Windowsファイアウォールサービスが停止されました
5027 - Windowsファイアウォールサービスはローカルストレージからセキュリティポリシーを取得できず、サービスは引き続き現行ポリシーを強制します
5028 - Windowsファイアウォールサービスが解決できず、現行ポリシーを引き続き適用する新たなセキュリティポリシー
5029 - Windowsファイアウォールサービスがドライバーの初期化に失敗し、現在のポリシーを引き続き適用します
5030 - Windowsファイアウォールサービスの起動失敗
5032 - Windows ファイアウォールが、受信接続を受けたアプリケーションをブロックしていることをユーザーに通知しない
5033 - Windowsファイアウォールドライバーの起動が正常に完了しました
5034 - Windowsファイアウォールドライバーが停止しました
5035 - Windowsファイアウォールドライバーの起動失敗
5037 - Windowsファイアウォールドライバーが重大な実行エラーを検出し、終了。
4608 - Windowsが起動します
4609 - Windowsがシャットダウンします
4616年 - システム時刻が変更される
4621 - 管理者がCrashOnAuditFailからシステムを回収、非管理者もログイン可能となり、一部の監査活動は記録されない可能性があります。
4697 - システム内にサーバーをインストールする
4618 - セキュリティイベントパターンの監視が発生した

330383477 · 掲載地 2018/05/08 11:39:53

学びました、ありがとうございます

Arch_shell · 掲載地 2018/05/08 14:23:53

情報共有

[窓] Windowsでリモートデスクトップ経由で接続したログを見る

関連記事

閲覧したセクション