Windowsイベントログで共有ドライブへの接続のイベントを検索します
私は大学の研究所で働いています。インフラストラクチャ用に1つの中央サーバーを備えたMicrosoftWindows 7Enterpriseを使用しています。移動ユーザープロファイルと共有ドライブはサーバー上にあります。
昨日、私たちのラップトップの腸の1つが(おそらく)盗まれました。ここで、人々がまだ研究所にいるかどうかを確認するために、これがいつだったかを調査したいと思います。
私の考えは、Microsoftイベントログを使用してコンピューターの名前/ IPアドレスを検索し、サーバーがワークステーションへの接続を失ったときを確認することです。これを探す必要があるのはどのカテゴリですか、それともこの情報はログに記録されていますか?
コンピューターが最後にオンラインになったのはいつかを知るためのより良い方法はありますか?
クライアントがサーバー上のSMB共有)への接続を失ったときに、Windowsイベントログに書き込まれるイベントはありません。頭に浮かぶ唯一のイベントは次のとおりです。
- 標準/組み込みのWindowsコンポーネントによって生成され、
- ある種の「切断」イベント時にイベントをログに記録します
マシンがネットワークから切断されたときにラップトップがアクティブなリモートデスクトップセッションにあったかどうかです。その場合、サーバーは次のようにソースTermDDからイベントID56を使用してシステムログにイベントを書き込みます。
ターミナルサーバーセキュリティレイヤーがプロトコルストリームでエラーを検出し、クライアントを切断しました。クライアントIP:10.84.0.67。
IPアドレスはクライアント(ラップトップ)のアドレスになるため、DHCPサーバーをチェックして、マシンに最後に割り当てられたIPを特定する必要があります。
別のオプション:セキュリティイベント
クライアントがネットワークから切断されたときの正確な瞬間を記録するイベントを見つけることができない場合があります(集中管理されたワイヤレスコントローラーを持っているほど幸運でない限り)すべてのワイヤレスイベントをログに記録します。これは良い考えです)、しかし、マシンが実際にネットワークに接続された最後の時刻を確立できる可能性は十分にあります。運が良ければ、この情報は何らかの形で役立つのに十分かもしれません。
サーバーの構成方法によっては、マシンの起動時のサーバーアクセス、ユーザーログオンなど、特定のクライアント側のイベントにより、サーバーのWindowsセキュリティイベントログにイベントが書き込まれる場合があります。たとえば、ターゲットマシンからのアクティビティを確認し、対応する日付/タイムスタンプを提供する次のIDを持つイベントを見つけることができます。
- イベントID4624 -- アカウントは正常にログオンしました
- イベントID4625 -- アカウントがログオンに失敗しました
- イベントID4648 -- 明示的な資格情報を使用してログオンが試行されました
リンクされた記事は、これらの各イベントを解釈する方法を説明しています。残念ながら、アクティブなネットワークでは、多くのそのようなイベントがログに記録される可能性があり、関心のあるイベントを見つける作業にかなり時間がかかる可能性があります。