Как я могу определить, кто подключен к журналу событий удаленно?

Есть ли способ выяснить, какой пользователь и / или какой компьютер удаленно обращается к файлам журналов событий Windows на моем компьютере? Эти доступы блокируют приложения на локальном компьютере и, таким образом, предотвращают их удаление.

Этот доступ отображается в ProcessExplorer как TCP-соединение от mmc.exe на удаленном компьютере до порта 5001 svchost.exe (с запущенной службой «eventlog») на локальном компьютере, но это все, что я могу определить.

Я искал этот ответ во всем, но не нашел ничего особенного, в том числе копания в объектах WMI с помощью PowerShell. Спасибо за любую помощь, которую вы можете предложить.

Прежде всего - это может быть не кто-нибудь, получающий доступ к вашим журналам событий удаленно. Файлы журнала событий всегда открыты. Они есть отображенные в память файлы так что вы не можете просто удалить их с диска.
Если вам нужно место на диске, вам нужно открыть eventvwr.msc и измените максимальный размер файла журнала там. Изменение не вступит в силу до следующего перезапуска службы журнала событий (что, вероятно, произойдет при перезагрузке компьютера).
Если вы хотите очистить журналы (то есть удалить данные), вы также можете сделать это в eventvwr оснастка mmc.
Если вам нужно хранить журналы событий в удаляемом файле, вы можете использовать AutoBackupLogFiles ключ реестра, но отображенные в памяти файлы все равно останутся.
Если вы все еще подозреваете, что учетная запись пользователя обращается к журналу событий на вашем компьютере удаленно, и это включает в себя журнал безопасности - вам следует проверить журнал безопасности события с ID 4672 и искать учетные записи, входящие в систему с SeSecurityPrivilege включен.
Если вы не думаете, что к журналу безопасности обращаются, вы все равно можете искать события в журнале безопасности с помощью ID 4624 , который должен показать вам, кто обращался к компьютеру удаленно (но будет включать всех пользователей, а не только тех, кто обращается к журналам событий). Это должно как минимум сузить ваш список подозреваемых.
Вы всегда можете использовать WEVTUTIL добавить аудит SACL в журналы, которые вы считаете являются доступ к Процесс такой же, как и для добавления разрешений (DACL), за исключением того, что вы говорите, какие вещи следует проверять, а не разрешать или запрещать.
Чуть менее элегантно, но когда вы заметите соединение с удаленного IP, вы можете попробовать запустить qwinsta / server: remoteIP , Это покажет вам, кто вошел в систему на этом компьютере, либо локально на консоли, либо через терминальные службы. Не поможет, если пользователь является учетной записью службы или запланированной задачей.

Вы можете использовать сетевой монитор, чтобы прослушивать входящий трафик на этом конкретном порту, и IP-адрес источника будет отображаться четко. Для этого:

• Загрузите и установите сетевой монитор от Microsoft на ПК, который получает удаленные подключения. Это бесплатный инструмент.
• Создайте новый перехват и отфильтруйте входящие tcp-соединения с портом 5001 (это довольно просто настроить, интерфейс дружественный).
• Начните захват и дождитесь прибытия пакетов, вы увидите исходный IP в поле Source списка. Вы даже можете прослушивать внутри пакетов и проверять, отображается ли подсказка об аутентификации при подключении.