หน้าเว็บ

วันเสาร์ที่ 21 มกราคม พ.ศ. 2555

ตรวจสอบการเข้าใช้งานเครื่องผ่าน Windows Logs






        สมมติว่ามีคนพยายามเข้าใช้งานเครื่องของเราจากภายนอก  เราสามารถตรวจสอบ  วันเวลา  แล้วก็รายละเอียดต่างๆ  ของ user ที่เข้าใช้งานได้  เช่น  มี user คนหนึ่งใช้เครื่องคอมพิวเตอร์ชื่อ PAI-PC  เข้าใช้งานเครื่องของเราจากภายนอก  ดังนี้


Windows ก็จะมีการเก็บ Log เอาไว้  ว่ามีใครเข้าใช้งานเครื่องเราบ้าง



ตัวอย่าง Windows  Logs Detail

-
System



-
Provider




[ Name]
Microsoft-Windows-Security-Auditing




[ Guid]
{54849625-5478-4994-A5BA-3E3B0328C30D}




EventID
4624




Version
0




Level
0




Task
12544




Opcode
0




Keywords
0x8020000000000000



-
TimeCreated




[ SystemTime]
2012-01-21T12:48:23.426277700Z




EventRecordID
1667




Correlation



-
Execution




[ ProcessID]
556




[ ThreadID]
5808




Channel
Security




Computer
Unknown





Security

-
EventData








SubjectUserSid
S-1-0-0



SubjectUserName
-



SubjectDomainName
-



SubjectLogonId
0x0



TargetUserSid
S-1-5-21-1665318717-1637301684-4239468796-500



TargetUserName
Warning



TargetDomainName
UNKNOWN



TargetLogonId
0x4f9e5e7



LogonType
3



LogonProcessName
NtLmSsp



AuthenticationPackageName
NTLM



WorkstationName 
PAI-PC  ***



LogonGuid
{00000000-0000-0000-0000-000000000000}



TransmittedServices
-



LmPackageName
NTLM V2



KeyLength
128



ProcessId
0x0



ProcessName
-



IpAddress
10.2.81.78   ***



IpPort
53767
---------------------------------------------------------------------------------------------------------------
เขียนโดย ที่
ป้ายกำกับ:

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)