Encontre eventos para conexões com uma unidade compartilhada no Registro de Eventos do Windows

Question

Encontre eventos para conexões com uma unidade compartilhada no Registro de Eventos do Windows

#1 resposta do (2 votos)

1

Estou trabalhando em um instituto universitário. Usamos o Microsoft Windows 7 Enterprise com um servidor central para nossa infraestrutura. Os perfis de usuários móveis e uma unidade compartilhada residem no servidor.

Ontem, um dos instintos de nosso laptop foi (presumivelmente) roubado. Agora, gostaríamos de investigar quando isso seria para ver se as pessoas ainda estavam presentes no instituto ou não.

Minha idéia é usar o Microsoft Event Log e procurar o nome / endereço IP do computador e ver quando o servidor perdeu a conexão com a estação de trabalho. Em qual categoria eu tenho que procurar isso, ou esta informação está sendo registrada?

Existe uma maneira melhor de descobrir quando o computador estava on-line pela última vez?

networking windows-7 event-log event-viewer

por AnatraIlDuck 23.02.2017 / 12:50

1 resposta

Tags networking windows-7 event-log event-viewer

Gerenciamento eficiente de formatação condicional Por que o segundo roteador está conectado à linha telefônica, mas está desligado com velocidade de conexão de banda larga lenta?

score 2 · Accepted Answer

Não há eventos gravados no log de eventos do Windows quando um cliente perde a conectividade com um compartilhamento SMB em um servidor. O único evento que me vem à mente:

É gerado por um componente padrão / interno do Windows e
Registra um evento em algum tipo de evento de "desconexão"

é se o laptop estava em uma sessão ativa do Remote Desktop no momento em que a máquina foi desconectada da rede. Nesse caso, o servidor grava um evento no log do sistema com a ID de evento 56 da origem TermDD da seguinte maneira:

The Terminal Server security layer detected an error in the protocol stream and has disconnected the client. Client IP: 10.84.0.67.

O endereço IP seria o do cliente (laptop), então você precisa verificar o seu servidor DHCP para determinar qual IP foi atribuído pela última vez à sua máquina.

Outra opção: eventos de segurança

Talvez você não consiga encontrar um evento que registre o momento exato quando o cliente foi desconectado da rede (a menos que você tenha a sorte de ter um controlador sem fio gerenciado centralmente que registra todos eventos sem fio, o que é um bom pensamento), mas há uma boa chance que você pode estabelecer a última vez que a máquina foi de fato conectada à rede . Com sorte, essa informação pode ser suficiente para ajudar de alguma forma.

Dependendo de como o servidor está configurado, determinados eventos do lado do cliente, como acesso ao servidor durante a inicialização da máquina, logon de usuário, etc., podem fazer com que eventos sejam gravados no log de eventos do Windows Security no servidor. Por exemplo, você pode encontrar eventos com os seguintes IDs que confirmam a atividade de sua máquina de destino e fornecem um carimbo de data / hora correspondente:

ID do evento 4624 - Uma conta foi conectada com sucesso
ID do Evento 4625 - Uma conta não conseguiu fazer login
ID do Evento 4648 - Um login foi tentado usando credenciais explícitas

Os artigos vinculados explicam como interpretar cada um desses eventos. Infelizmente, em uma rede ativa, podem existir muitos tais eventos registrados, o que pode fazer com que o trabalho de encontrar os de interesse seja demorado.