Como posso determinar quem está conectado ao log de eventos remotamente?

6

Existe uma maneira de descobrir qual usuário e / ou qual computador está acessando remotamente os arquivos de log de eventos do Windows do meu computador? Esses acessos são aplicativos de bloqueio no computador local e, portanto, impedem sua exclusão.

Esse acesso está aparecendo no ProcessExplorer como uma conexão TCP de mmc.exe na máquina remota para a porta 5001 do svchost.exe (executando o serviço "eventlog") na máquina local, mas isso é tudo que eu posso determinar. / p>

Eu procurei por toda essa resposta, mas não encontrei nada de uso específico, incluindo escavações por objetos WMI usando o PowerShell. Obrigado por qualquer ajuda que você possa oferecer.

    
por altruic 14.03.2014 / 21:49

2 respostas

1

Primeiro de tudo - pode não ser ninguém acessando seus logs de eventos remotamente. Arquivos de log de eventos estão sempre abertos. Eles são arquivos mapeados na memória , então você não pode basta apagá-los do disco.
Se você precisar de espaço em disco, precisará abrir eventvwr.msc e alterar o tamanho máximo do arquivo de log. A alteração não entrará em vigor até a próxima reinicialização do serviço de log de eventos (que provavelmente será quando você reinicializar a máquina). Se você deseja limpar os logs (ou seja, remover os dados), você também pode fazer isso no eventvwr snap-in mmc.
Se você tiver necessidade de manter logs de eventos em um arquivo que pode ser deletado, use a chave de registro AutoBackupLogFiles , mas a memória mapeada arquivos ainda permanecerão.
Se você ainda suspeitar que uma conta de usuário está acessando o log de eventos no seu computador remotamente, e isso inclui o log de segurança - você deve verificar o log de segurança para eventos com ID 4672 e procure contas com o log de SeSecurityPrivilege ativado.
Se você não acha que o log de segurança é o que está sendo acessado, ainda é possível procurar eventos no log de segurança com ID 4624 , que deve mostrar a você quem acessou o computador remotamente (mas incluirá todos os usuários, não apenas os que acessam os logs de eventos). Isso deve pelo menos restringir sua lista de suspeitos.
Você sempre pode usar wevtutil para adicionar uma SACL de auditoria aos logs que você acha que estão sendo acessados. O processo é quase o mesmo que para adicionar permissões (DACL), exceto que você está dizendo quais coisas devem ser auditadas, ao contrário de permitido ou negado. Um pouco menos elegante, mas quando você percebe uma conexão do IP remoto, você pode tentar executar qwinsta / server: remoteIP . Isso mostrará quem está conectado nesse computador, localmente no console ou via serviços de terminal. Não ajudará se o "usuário" for uma conta de serviço ou uma tarefa agendada.

    
por 22.10.2014 / 13:11
0

Você pode usar o Network Monitor para detectar o tráfego de entrada nessa porta específica e o IP de origem será exibido claramente. Para fazer isso:

  • Faça o download e instale o Network Monitor da Microsoft no PC que está obtendo as conexões remotas. É uma ferramenta gratuita.
  • Crie uma nova captura e filtre as conexões tcp de entrada para a porta 5001 (É bem simples de configurar, a interface do usuário é amigável).
  • Inicie a captura e aguarde até que os pacotes cheguem, você verá o IP de origem no campo Origem da lista. Você pode até mesmo farejar os pacotes e checar se uma sugestão de autenticação é exibida na conexão.
por 09.04.2014 / 11:50