リモート接続の履歴を取る
先日、サーバーの共有ファイルが開けなくなったというトラブル対応を行いました。
最終的には、サーバーのユーザー登録の確認をするところまで行ったのですが、まさかユーザーが消えているとは…
担当者に状況確認しても思い当たるところはなく、今後を考えて対策を取ることにしました。
●サーバーのログイン履歴を取る
【設定方法】
1.「スタートメニュー」→「コントロールパネル」→「管理ツール」→「ローカルセキュリティポリシー」を開く
2.「セキュリティの設定」→「ローカルポリシー」→「監査ポリシー」を開く
3.「アカウントログオンイベントの監査」と「ログオンイベントの監査」の設定で、成功と失敗の両方を有効にする
【確認方法】
1.「スタートメニュー」→「コントロールパネル」→「管理ツール」→「イベントビュアー」を開く
2.「Windowsログ」→「セキュリティ」を開く
3.イベントID:4624や4778を確認
接続元の情報がわかるので、セキュリティ対策としても有効ですね。