Windows Server 2008 R2へのリモートデスクトップ接続のログイン履歴を確認する方法
RD接続がサーバーから切断され、数分再接続できなかったときに、奇妙なイベントが発生しました。
再接続したとき、PG管理者が閉じていて、閉じていませんでした(ドロップされる前に開いていました)。非常に心配になり、それがsmthを実行しているアクティブなホスティングサポートなのか、ハッキングされたのかを確認したいと思います。
次のイベントIDを探します。
- 4624アカウントは正常にログオンしました(LogonType = 10)
- 4625アカウントがログオンに失敗しました
- 4634アカウントがログオフされました(LogonType = 10)
- 4647ユーザーが開始したログオフ
- 4778セッションがウィンドウステーションに再接続されました
- 4779セッションがウィンドウステーションから切断されました
あなたはあなたのホストを呼び出す必要があります。これは、彼らがメンテナンスを行っているかどうかを判断する最も簡単な方法です。そうでない場合は、システムログでその時間前後のログオンイベントを確認する必要があります。その期間のイベントビューアをフィルタリングして、疑わしいものがないか一度に1つのイベントを探すことができます。
実際にサポートに連絡したところ、HyperVの再起動のようなものだと言われました。これはVPSサーバーでした。システムは、切断後の時間と同じ実行時間を示していました。
pk。あなたのIDはその528よりもはるかに優れているので、私はそれを答えとしてマークします。