Вход
testopay.com

Как посмотреть логи входов на windows server?

prolisk
Старожил

Сообщений: 101

Благодарности: 21

На форуме: с 10.04.21

24 апр 2021   22:32

Есть подозрения, что кто-то ходит на сервер, который арендую. Это может быть кто-то из поддержки.

Хочу посмотреть логи, кто входил, айпи и т.п.

Кто подскажет где искать на windows server 2008? может какую доп.утилиту поставить?

Amney
Пользователь

Сообщений: 59

Благодарности: 7

На форуме: с 20.04.21

24 апр 2021   22:34

[quote=prolisk]Это может быть кто-то из поддержки.[/quote]

Стажера - студента взял на работу провайдер, вот он и шастает, учится =)

k0ttee
Старожил

Сообщений: 580

Благодарности: 103

На форуме: с 22.03.21

25 апр 2021   06:08

[quote=prolisk]где искать на windows server 2008? может какую доп.утилиту поставить?[/quote]

Павершелл скриптом.

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

  foreach ($e in $slogonevents){
    # Logon Successful Events
    # Local (Logon Type 2)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
      write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
    }
    # Remote (Logon Type 10)
    if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
      write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
    }}

Или.

Run Netwrix Auditor → Navigate to “Reports” → Open “Active Directory” → Go to “Logon Activity” → Select “Successful Logons” → Click “View”.

To get this report by email regularly, simply choose the "Subscribe" option and define the schedule and recipients.

Или.

https://www.youtube.com/results?search_query=windows+server+2008+login+history