Có nhiều lúc chúng ta muốn thống kê các sự kiện đăng nhập sai, đúng. Hay đơn giản chỉ muốn kiểm tra các máy tính Remote Desktop vào máy chủ, lúc này chúng ta cần sử dụng đến công cụ Event Viewer của Windows.

Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event Viewer theo các Name cụ thể ứng với từng loại log. Trong bài viết này chúng ta sẽ cùng tìm hiểu chi tiết về Event Viewer và cách sử dụng trong từng trường hợp

Các Sự kiện trên Linux được ghi lại vào File log, còn đối với windows sẽ được ghi vào Event View theo các Name cụ thể ứng với từng log.

Các trường hợp khi Remote Desktop tới máy chủ Windows có thể sảy ra như sau:

  • Khi Remote Desktop đúng User đúng Password
  • Khi Remote Đúng User sai Password
  • Khi Remote sai User
  • Remote sai User hoặc Password

Để xem được các bản ghi về Remote Desktop trên Windows thì ta cần sử dụng công cụ Event View của Windows

Để mở Event viewer ta làm như sau:

Bấm tổ hợp phím Windows+R sau đó nhập eventvwr

TH1: Remote Desktop đúng User đúng Password (đăng nhập thành công)

Để xem IP đã Remote Desktop ta xem Event ID: 4648

Để xem các thông tin liên quan khác xem Event ID: 4624

Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau:

Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái

Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…

Nhấn OK để lọc nhật ký sự kiện ( Event log )

Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện có Event ID 4648

Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau:

Network Information:
Network Address: x.x.x.x
Port: 0

Trong đó Network Address là địa chỉ IP của máy tính thực hiện Remote Destop tới máy chủ Windows Server

Để kiểm tra thêm các thông tin khác ta làm như sau:

Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái

Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4624 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…

Nhấn OK để lọc nhật ký sự kiện ( Event log )

Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop đúng

tại đây ta có thể thấy được những thông tin sau:

  • Event ID: 4624
  • Log Name: Security
  • phần bản tin: An account was successfully logged on.
  • logged: 12/24/2019 4:35:34 PM
  • level: Infomation
  • Computer: Tên máy tính được đăng nhập

Trong đó:

  • Event ID: là ID sự kiện
  • Log Name: Tên bản tin log
  • phần bản tin: là bản tin log
  • logged: thời gian xuất hiện sự kiện
  • level: mức độ cảnh báo
  • Computer: Tên máy tính được đăng nhập

Trên đây là cách tìm nhật ký Remote đúng trong Windows, chúng ta sẽ sang phần tiếp theo, Remote Sai Password

TH 2: Remote Desktop sai User hoặc Password (hoặc sai cả hai)

Để xem IP đã Remote Desktop thất bại ta xem Event ID: 140

Để xem các thông tin liên quan khác xem Event ID: 4625

Để kiểm tra IP đã Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau:

Trong Event Viewer chọn Applications and Services Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational ở cửa sổ bên trái

Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 140 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…

Nhấn OK để lọc nhật ký sự kiện ( Event log )

Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.

tại đây ta có thể thấy được những thông tin sau:

  • Event ID: 140
  • Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
  • phần bản tin: A connection from the client computer with an IP address of 192.168.182.1 failed because the user name or password is not correct.
  • logged: 12/24/2019 5:02:36 PM
  • level: Warning
  • Computer: Tên máy tính được đăng nhập

Trong đó:

  • Event ID: là ID sự kiện
  • Log Name: Tên bản tin log
  • phần bản tin: Có một kết nối từ IP x kết nối tới nhưng nhập sai User hoặc mật khẩu
  • logged: thời gian xuất hiện sự kiện
  • level: mức độ cảnh báo
  • Computer: Tên máy tính được đăng nhập

Lưu ý: trên phần bản tin Log có ghi lại IP đã thực hiện Remote Desktop thất bại vào máy chủ, từ đây có thể trích xuất thông tin để xử lý, phần khoanh đỏ là phần IP Remote thất bại

Trên đây là cách tìm nhật ký Remote thất bại trong Windows, Remote Sai User hoặc password và cách tìm địa chỉ ip đã đăng nhập sai để tiến hành các biện pháp xử lý.

Để tìm tên User được nhập lúc Remote Desktop thất bại tới máy Chủ Windows Server ta làm như sau:

Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái

Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4625 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…

Nhấn OK để lọc nhật ký sự kiện ( Event log )

Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.

Click chuột 2 lần vào EventID 4625

Sẽ thấy một cửa sổ hiện lên, trong phần mô tả có trường Account Name là tên User bị Remote tới

tại đây ta có thể thấy được những thông tin sau:

  • Event ID: 4625
  • Log Name: Security
  • Account Name: sdsdsdsds
  • phần bản tin: An account failed to log on.
  • logged: 12/24/2019 4:54:50 PM
  • level: Infomation
  • Computer: Tên máy tính được đăng nhập

Trong đó:

  • Event ID: là ID sự kiện
  • Log Name: Tên bản tin log
  • Account Name: Tên user
  • phần bản tin: là bản tin log
  • logged: thời gian xuất hiện sự kiện
  • level: mức độ cảnh báo
  • Computer: Tên máy tính được đăng nhập
    Chú ý: Có thêm phần Account Name

Kết Luận

Như vậy trong bài viết này chúng ta đã cùng nhau tìm hiểu và cách thức sử dụng công cụ Event Viewer để tìm nhật ký Remote Desktop đối với những lần Remote thất bại , Remote Sai User hoặc password trong Windows, quan trọng hơn là cách tìm địa chỉ ip đã đăng nhập sai để tiến hành khoanh vùng thực hiện các biện pháp xử lý.

Qua bài viết này cloud365 hi vọng có thể giúp được các bạn phần nào đó hiểu hơn về EventID trong Windows, rất mong nhận được đóng góp của các bạn để bài viết được chất lượng hơn tại phần comment bên dưới

Chúc các bạn thành công !