Hướng dẫn kiểm tra Log Remote Desktop trên Windows

Chào các bạn, trong bài viết này PA Việt Nam sẽ hướng dẫn các bạn sử dụng Event Viewer để kiểm tra log Remote Desktop trên Windows.

1. Kiểm tra log Remote Desktop đúng User đúng Password

( Đăng nhập thành công )

Event ID:
4648: Để xem IP đã Remote Desktop.
4624: Để xem các thông tin liên quan tới event.

Đầu tiên, để mở Event Viewer các bạn vào Start > Run hoặc bấm tổ hợp phím Windows+R sau đó nhập “eventvwr”

Trong Event Viewer chọn Windows Logs > Security ở cửa sổ bên trái > Filter Current Log.

Trong hộp thoại Filter Current Log, nhập dòng 4648 vào hộp văn bản bên dưới <All Event IDs>

Nhấn OK để lọc nhật ký sự kiện Event log

Bây giờ, Trình xem sự kiện (Event Viewer) sẽ chỉ hiển thị các sự kiện có Event ID 4648

Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống và bạn sẽ thấy phần thông tin như sau:

Network Information:
Network Address: x.x.x.x
               Port: 0

Trong đó Network Address là địa chỉ IP của máy tính thực hiện Remote Desktop tới máy chủ Windows Server

Để kiểm tra thêm các thông tin khác ta làm như sau:
Ở cửa sổ bên phải -> Nhấn chuột chọn Filter Current Log
Trong hộp thoại tiếp theo, nhập dòng 4624 vào hộp văn bản bên dưới <All Event IDs>

Nhấn OK để lọc nhật ký sự kiện Event log

Bây giờ, Trình xem sự kiện (Event Viewer) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop đúng

Trong đó:
Event ID: là ID sự kiện
Log Name: Tên bản tin log
Phần bản tin: chứa các thông tin log
Logged: thời gian sự kiện xảy ra
Level: mức độ cảnh báo
Computer: Tên máy tính được đăng nhập

2. Kiểm tra log Remote Desktop sai User hoặc Password 

( Hoặc Sai cả 2 user và password )

Event ID:
140: Để xem IP đã tiến hành Remote Desktop thất bại

Trong Event Viewer chọn Applications and Services Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational > Filter Current Log

Trong hộp thoại Filter Current Log, nhập dòng 140 vào hộp văn bản bên dưới <All Event IDs>

Nhấn OK để lọc nhật ký sự kiện Event log

Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện liên quan đến Remote Desktop thất bại.

Event ID: là ID sự kiện
Log Name: Tên bản tin log
Phần bản tin: Có một kết nối từ IP x kết nối tới nhưng nhập sai User hoặc mật khẩu
Logged: thời gian xuất hiện sự kiện
Level: mức độ cảnh báo
Computer: Tên máy tính được đăng nhập

Trên đây là cách tìm nhật ký Remote thất bại trong Windows, Remote Sai User hoặc Password và cách tìm địa chỉ IP đã đăng nhập sai để tiến hành các biện pháp xử lý.

3. Tìm tên User thực hiện Remote Desktop thất bại tới máy Chủ

Event ID:
4625: Để xem các thông tin liên quan đến Event Remote Desktop thất bại

Trong Event Viewer chọn Windows Logs > Nhấn chọn Security >  Filter Current Log.

Trong hộp thoại Filter Current Log, nhập dòng 4625 vào hộp văn bản bên dưới <All Event IDs>

Nhấn OK để lọc nhật ký sự kiện Event log

Click đúp chuột 2 lần vào Event ID cần kiểm tra sẽ thấy một cửa sổ hiện lên, trong phần mô tả có trường Account Name là tên User bị Remote tới

Event ID: là ID sự kiện
Log Name: Tên bản tin log
Account Name: Tên user
Phần bản tin: chứa các thông tin liên quan đến log
Logged: thời gian xuất hiện sự kiện
Level: mức độ cảnh báo
Computer: Tên máy tính được đăng nhập
Chú ý: Có thêm phần Account Name

_________________________________________________________________________________________

Các bạn có thể tham khảo thêm một số bài viết khác như:
Hướng dẫn generate script dữ liệu SQL Server
Cấu hình Firewall trên Windows Server 2016/2012/2008

———————————————————-

P.A Việt Nam cung cấp đa dạng các Plan Hosting đáp ứng yêu cầu của khách hàng
Hosting Phổ Thông
Hosting Chất Lượng Cao

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-tuc-chuong-trinh-khuyen-mai-ten-mien-hosting.html