iT邦幫忙

0

windows server event

dumpel 安全性紀錄檔
石頭 2019-07-19 14:05:12969 瀏覽

  • 分享至 

  • xImage

各位好,
我目前需要抓microsoft server 2012 R2上的安全性紀錄去找檔案是被誰砍掉的
我的設定如下
https://ithelp.ithome.com.tw/upload/images/20190719/20108361P34qSP7NNd.jpg
然後我找一個時間有測試增加一個檔案 刪除一個檔案 (以下LOG用VB寫的)
https://ithelp.ithome.com.tw/upload/images/20190719/20108361IUKm7d6I33.jpg
接下來我在紀錄檔裡面就有點混亂了/images/emoticon/emoticon06.gif...一堆事件 我也不確定對不對..
https://ithelp.ithome.com.tw/upload/images/20190719/20108361DAY3rLqpNy.jpg

我目前的想法是用微軟提供的 dumpel.exe 去抓特定識別碼 ...
請問 刪除/建立/修改 各對應的識別碼應該如何抓取?

謝謝~~

補:用dumpel抓出來的
https://ithelp.ithome.com.tw/upload/images/20190719/20108361nxPQj6lsSJ.jpg

michaelwan iT邦高手 1 級 ‧ 2019-07-19 14:36:33 檢舉
eventid 4656, 4658, 4663,4690
EventRecordID
SubjectLogonId
SubjectUserName
HandleId
SourceHandleId
TargetHandleId
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22203
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙