大家好,目前我剛接任某台灣分公司的IT人員,總部一直通知我們公司SERVER上面從前一個IT人員離職一直發生前公司IT人員帳號嘗試登入,在SERVER上嘗試做登入活動並失敗,因為確認了EVENT LOG也沒發現前IT人員的登入活動,並且我也把他的登錄檔在SERVER上面移除了,請問我還有何種方法去確認呢?我們公司SERVER系統為WINDOWS SERVER 2008 R2,只做FILE SERVER , DNS , DHCP 以及建立了VIRTURL當作PROXY使用。
謝謝
已邀請的邦友 {{ invite_list.length }}/5
總部是從哪裡看到他一直嘗試登入的? 您們看的是同一份 Log 嗎?
其實我不確定他們是用哪支監控程式是確認的,不過SERVER這端是有裝LANDESK, 找道理說應該回傳到總部那邊應該是同一份LOG,但是我也無法確定。 請問SERVER端還有何方法確認嗎???謝謝
你們要看同一份 Log 才能比對問題; 請設法向總部索取它們監控程式所顯示出來的結果, 否則雞同鴨講下去, 永遠都查不出來....
不是所有的工具, 掃出來的結果都會一樣....
不然就把你的監控工具 Log 寄給總部看, 證明你這邊找不出來; 但我想總部應該不會承認你用的工具, 最終會變成總部要求你跟他們使用同一種工具看....
謝謝,已解決了,後來有請總部那邊給多一點資訊,比對log,
發現是backup程式network drive 的路徑是錯的,導致這樣的問題。
iThome鐵人賽
看影片追技術