Riwayat log Windows Server [ditutup]

10

Saya telah menetapkan bahwa seseorang telah masuk ke desktop saya ketika saya sedang berlibur, saya percaya itu dilakukan melalui server kami dari administrator kami tetapi saya tidak yakin bagaimana caranya. Saya tidak ramah tetapi saya memiliki hak istimewa Admin di server saya, jadi saya pikir sebelum saya menyalahkan TI untuk mengakses Desktop saya, saya akan melihat apakah dia login di server pada waktu yang sama seperti pada jam non kerja. Dapatkah seseorang memberi saya proses langkah demi langkah tentang cara melihat login sebelumnya di Server 2008

windows  windows-server-2008 
Nadimo
sumber
"salahkan IT untuk mengakses Desktop saya" - Apakah Anda menyadari bahwa (kecuali Anda memiliki pengecualian yang sangat spesifik) bahwa melakukan itu hanyalah pekerjaan mereka?
HBruijn

Jawaban:

12

Buka Event Viewer - tekan tombol Windows, ketik Event Viewer, dan tekan Enter untuk membukanya.

Arahkan ke Log Windows -> Kategori keamanan di penampil acara.

Cari acara dengan ID 4624 acara - ini merupakan acara login yang berhasil

Gulir ke bawah di log ke waktu Anda percaya dia login dan lihat.

Anda dapat mengklik dua kali pada sembarang log untuk membukanya, biasanya Anda akan melihat baris pertama:

"Akun berhasil masuk."

Kemudian beberapa garis lagi turun

"Logon Baru:

ID Keamanan: domain \ pengguna

Nama Akun: pengguna "

Anthony Fornito
sumber
Harap perhatikan bahwa OP macet jika audit tidak dilakukan sebelum insiden. Secara default, nilai ini diatur ke Tidak mengaudit di objek Kebijakan Grup Pengontrol Domain Default (GPO) dan dalam kebijakan lokal workstation dan server. ( Technet.microsoft.com/en-us/library/cc976395.aspx )
yagmoth555
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.