Home / Tin tức / event viewer là gì

Event Viewer Là Gì

  admin  -     16/03/2023   9

Remote Desktop Activity Log là Nhật ký hoạt động vui chơi của các kết nối Remote Desktop, lưu lại những hoạt động vui chơi của kết nối điều khiển máy vi tính từ xa. Là một trong những quản trị viên hệ thống, các bạn không thể bỏ lỡ những log này, hãy thuộc tôi tìm hiểu về mọi điều đáng chú ý để ứng dụng vào thực tiễn nhé.

Bạn đang xem: Event viewer là gì

Bài viết này rất có thể ứng dụng khi so sánh log RDP (Remote Desktop Protocol) bên trên Windows vps 2008 R2, 2012/R2, năm 2016 và trên phiên phiên bản Windows Desktop (Windows 10, 8.1 và 7).

Khi người tiêu dùng thực hiện kết nối Remote Desktop, toàn bộ vận động sẽ được bảo quản trong Windows event Viewer. Bạn cũng có thể kiểm tra các kết nối RDP bằng cách sử dụng event Viewer (eventvwr.msc), và xem cụ thể log và event chính như sau:

Network Connection Authentication Logon Session Disconnect/Reconnect Logoff

1. Network Connection

Network connection là 1 kết nối từ máy khách RDP tới thứ chủ.EventID 1149 (Remote Desktop Services: User authentication succeeded).Ý nghĩa: cho biết thêm có một liên kết RDP từ tín đồ dùng, nhưng chưa chắc chắn kết nối đó thành công xuất sắc hoặc không.Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operational
*
Chi tiết event cung ứng user, domain, và showroom IP của người dùng kết nối tới:
*

2. Authentication

Ý nghĩa: cho thấy kết trái xác thực thành công hoặc không.EventID 4624 (An trương mục was successfully logged on): bảo đảm thành công.EventID 4625 (An tài khoản failed khổng lồ log on): đảm bảo không thành công.Vị trí log: Windows -> SecurityChú ý cực hiếm LogonType vào phần bộc lộ của một event:LogonType = 10: một session new được tạo.LogonType = 7: người dùng kết nối lại vào một session đã tồn tại.
*

Mô tả event cho biết:

Account Name: tên bạn dùng.Workstation Name: tên sản phẩm công nghệ tính.Source Network Address: add IP.

Lưu ý giá trị của TargetLogonID, là một trong những ID duy nhất của RDP session, góp theo dõi các chuyển động tiếp theo của bạn dùng. Tuy nhiên, ví như một RDP session bị ngắt kết nối, và người dùng kết nối lại, session đó sẽ được gán một TargetLogonID bắt đầu (mặc dù RDP session vẫn kiểu như nhau).

Xem thêm: Kinh Nghiệm Đi Thiên Đường Bảo Sơn : Ăn Gì Chơi Gì? Kinh Nghiệm Đi Thiên Đường Bảo Sơn: Ăn Gì Chơi Gì

3. Logon

Ý nghĩa: người dùng đăng nhập vào hệ thống, event xuất hiện nay sau khi người tiêu dùng đã xác thực thành công.EventID 21 (Remote Desktop Services: Session logon succeeded): singin thành công.EventID 21 (Remote Desktop Services: Shell start notification received): màn hình hiển thị desktop đã xuất hiện thêm trong RDP session.Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> OperationalEvent cho thấy SessionID là ID của RDP session.
*

4. Session Disconnect/Reconnect

Các event ngắt kết nối và kết nối lại có các ID khác nhau tùy trực thuộc vào vì sao gây ra ngắt kết nối.

Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

EventID 24 (Remote Desktop Services: Session has been disconnected): người dùng chấm dứt phiên đăng nhập.EventID 25 (Remote Desktop Services: Session reconnection succeeded): người tiêu dùng kết nối lại vào RDP session sẽ tồn tại.EventID 39 (Session has been disconnected by session ): người dùng xong phiên đăng nhập bằng phương pháp chọn tùy lựa chọn trên menu tương xứng (thay vì đóng cửa sổ RDP client). Trường hợp ID phiên singin khác nhau, tín đồ dùng đã biết thành ngắt kết nối từ một người tiêu dùng khác (hoặc administrator).EventID 40 (Session has been disconnected, reason code ):reason code 0 (No additional information is available): người dùng đã tạm dừng hoạt động sổ RDP client.reason code 5 (The client’s connection was replaced by another connection): người dùng đã kết nối lại vào RDP session trước đó.reason code 11 (User activity has initiated the disconnect): người tiêu dùng đã click vào nút Disconnect trên start menu.Trong Windows -> Security log, EventID 4778 (A session was reconnected to lớn a Window Station): người tiêu dùng đã liên kết lại vào RDP session (người cần sử dụng được gán một LogonID mới).Trong Windows -> Security log, EventID 4799 (A session was disconnected from a Window Station): người tiêu dùng đã ngắt kết nối xuất phát từ một RDP session.

5. Logoff

Ý nghĩa: người tiêu dùng đăng xuất khỏi hệ thống.EventID 23 (Remote Desktop Services: Session logoff succeeded)Vị trí log: Applications & Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
*
Cùng thời gian đó, vào Security Log cũng mở ra EventID 4634 (An tài khoản was logged off).Trong System Log, EventID 9009 (The Desktop Window Manager has exited with code ): thời điểm đó người dùng bước đầu đăng xuất, cả window và graphic shell đã biết thành đóng.

Xem thêm: Vé Tàu Rạch Giá Phú Quốc - Lịch Tàu Cao Tốc Tuyến Rạch Giá

Lời kết

Như vậy chúng ta cũng đã tò mò qua một số event log đáng chú ý, rất hữu ích khi theo dõi với phân tích chuyển động liên quan đến Remote Desktop, hay khi tín đồ quản trị viên hệ thống phải mang thông tin người dùng đăng nhập vào RDS Server,…

Nếu tất cả những kinh nghiệm về kiểm tra sự kiện Log, chúng ta hãy comment phía dưới để cùng điều đình nhé.

Tài liệu tham khảo


Khác

eventviewerLogWindows

Previous post thống kê giám sát server HP iLO thực hiện zabbixNext post Kiểm tra dung tích đĩa vào Linux

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Follow Us

Có gì mới

Trending

Dịch vụ Sale OTA khách sạn