web-dev-qa-db-ja.com

イベントログにリモートで接続しているユーザーを特定するにはどうすればよいですか?

どのユーザーやどのコンピューターが私のコンピューターのWindowsイベントログファイルにリモートアクセスしているかを把握する方法はありますか?これらのアクセスは、ローカルコンピューター上のアプリケーションをロックし、それによってそれらの削除を防ぎます。

このアクセスは、ProcessExplorerにTCPリモートマシンのmmc.exeからローカルマシンのsvchost.exeのポート5001(「eventlog」サービスを実行)への接続として表示されますが、それは私が判断できるすべて。

この回答をあちこち検索しましたが、PowerShellを使用してWMIオブジェクトを掘り下げるなど、特に役立つものは見つかりませんでした。あなたが提供できるどんな助けにも感謝します。

6
altruic

まず第一に、リモートでイベントログにアクセスしている人はいないかもしれません。イベントログファイルは常に開いています。それらは メモリマップトファイル であるため、ディスクから単に削除することはできません。
ディスク容量が必要な場合は、eventvwr.mscを開いて、そこでログファイルの最大サイズを変更する必要があります。変更は、イベントログサービスの次の再起動(おそらくマシンを再起動するとき)まで有効になりません。
ログをクリアする(つまりデータを削除する)場合は、eventvwr mmcスナップインでも実行できます。
イベントログを削除可能なファイルに保持する必要がある場合は、 AutoBackupLogFiles レジストリキーを使用できますが、メモリマップトファイルは残ります。
ユーザーアカウントがコンピューターのイベントログにリモートでアクセスしている疑いがあり、これにセキュリティログが含まれている場合は、セキュリティログで ID 4672のイベント を確認してください。 SeSecurityPrivilege を有効にしてログオンしているアカウントの場合。
セキュリティログがアクセスされていると思わない場合でも、セキュリティログで ID 4624 のイベントを探すことができます。これにより、誰がアクセスしているかがわかります。コンピュータをリモートで(ただし、イベントログにアクセスするユーザーだけでなく、すべてのユーザーが含まれます)。これにより、少なくとも容疑者のリストが絞り込まれます。
いつでも wevtutil を使用して、アクセスされていると思われるログに監査SACLを追加できますare。このプロセスは、許可または拒否ではなく、監査する必要があるものを指定することを除いて、アクセス許可の追加(DACL)の場合とほとんど同じです。
少しエレガントではありませんが、リモートIPからの接続に気付いた場合は、 qwinsta/server:remoteIPを実行してみてください。これにより、コンソールでローカルに、またはターミナルサービスを介して、そのコンピューターに誰がログオンしているかが表示されます。 「ユーザー」がサービスアカウントであるか、スケジュールされたタスクであるかは役に立ちません。

1
Adam Thompson

ネットワークモニターを使用して、その特定のポートの着信トラフィックをスニッフィングでき、送信元IPが明確に表示されます。これを行うためには:

  • リモート接続を取得しているPCにMicrosoftからネットワークモニターをダウンロードしてインストールします。これは無料のツールです。
  • 新しいキャプチャを作成し、ポート5001への着信tcp接続をフィルタリングします(構成は非常に簡単で、UIは使いやすいです)。
  • キャプチャを開始し、パケットが到着するまで待ちます。リストの[ソース]フィールドにソースIPが表示されます。パケット内をスニッフィングして、接続時に認証に関するヒントが表示されるかどうかを確認することもできます。
0
Roberto