Как посмотреть логи входов на windows server?

prolisk

Старожил

Сообщений: 101

Благодарности: 21

На форуме: с 10.04.21

24 апр 2021 22:32

цитировать

Есть подозрения, что кто-то ходит на сервер, который арендую. Это может быть кто-то из поддержки.

Хочу посмотреть логи, кто входил, айпи и т.п.

Кто подскажет где искать на windows server 2008? может какую доп.утилиту поставить?

Amney

Пользователь

Сообщений: 59

Благодарности: 7

На форуме: с 20.04.21

24 апр 2021 22:34

цитировать

[quote=prolisk]Это может быть кто-то из поддержки.[/quote]

Стажера - студента взял на работу провайдер, вот он и шастает, учится =)

k0ttee

Старожил

Сообщений: 587

Благодарности: 104

На форуме: с 22.03.21

25 апр 2021 06:08

цитировать

[quote=prolisk]где искать на windows server 2008? может какую доп.утилиту поставить?[/quote]

Павершелл скриптом.

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *

# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)

# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}

# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely

foreach ($e in $slogonevents){
# Logon Successful Events
# Local (Logon Type 2)
if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
}
# Remote (Logon Type 10)
if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
}}

Или.

Run Netwrix Auditor → Navigate to “Reports” → Open “Active Directory” → Go to “Logon Activity” → Select “Successful Logons” → Click “View”.

To get this report by email regularly, simply choose the "Subscribe" option and define the schedule and recipients.

Или.

https://www.youtube.com/results?search_query=windows+server+2008+login+history

Как посмотреть логи входов на windows server?

Сообщение