Hướng dẫn kiểm tra log Remote Desktop trên VPS/Server.

Chào các bạn, Vietserver sẽ hướng dẫn các bạn cách kiểm tra IP Đã Remote Desktop vào VPS khi nghi ngờ/phát hiện máy chủ của bạn bị truy cập trái phép.

Lưu ý: Nếu chắc chắn máy chủ bị truy cập trái phép, tuyệt đối không nên cố gắng thay đổi user/password. Vì cho dù thay đổi cũng không thể đảm bảo máy chủ của bạn đã được an toàn. Lời khuyên là nên cài đặt lại hệ điều hành và thực hiện các biện pháp bảo mật.

Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau:

Bấm tổ hợp phím Windows+R sau đó nhập eventvwr

Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái

Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”

Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer ) sẽ chỉ hiển thị các sự kiện có Event ID 4648

Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau:

Network Information:
Network Address: x.x.x.x
Port: 0

Trong đó Network Address là địa chỉ IPv4 của máy tính thực hiện Remote Destop tới VPS