散分,求救,关于局域网登陆记录的问题。

minimana 2010-03-20 01:27:35
操作系统是windows2003 server的服务器。请问能不能查询到过去半个月内,通过局域网登陆(即建立IPC$连接)的客户机的IP地址,及登陆时间?如果能,应该怎样做?
...全文
104 9 打赏 收藏 转发到动态 举报
写回复
用AI写文章
9 条回复
切换为时间正序
请发表友善的回复…
发表回复
xman_78tom 2010-03-20
  • 打赏
  • 举报
回复
sql 2000 默认启用“审核失败的登陆”,用户登陆失败的事件将记录在 SQL Server 的错误日志中(Microsoft SQL Server\MSSQL.1\MSSQL\LOG)。
可以在“企业管理器”中打开相应服务器的“SQL SERVER 属性”对话框,在“安全性”选项卡中设置“审核成功/失败的登陆”。
也可以利用 profiler 工具跟踪用户登录的事件,获取更详细的登陆信息。
minimana 2010-03-20
  • 打赏
  • 举报
回复
服务器里装了sql2000的数据库,如果有用户接入,这里会不会有记录?一般记录在哪里?不过在日志里没看到与连接有关的信息,是没找对地方吗?
yys5161 2010-03-20
  • 打赏
  • 举报
回复
局域网是固定的或者说绑定IP的需要提前扫描才有
minimana 2010-03-20
  • 打赏
  • 举报
回复
另外请教3L,“重要文件的访问记录”在哪里查?如果从客户端排查,又是从哪里查起?
minimana 2010-03-20
  • 打赏
  • 举报
回复
怎样查到“客户端名称”,由于是捆绑IP的,有这个和有IP几乎没什么分别了。
flyfranker 2010-03-20
  • 打赏
  • 举报
回复
我觉得几乎不可能,有可能会查到客户端名称,IP是查不到的。
就是just4 2010-03-20
  • 打赏
  • 举报
回复
由于ipc$连接无完整的事件日志,查起来比较困难,可从几方面着手

一是尽快存档系统日志文件,以免日志丢失,直接输eventvwr保存*.evt,其它安全日志有对ipc连接的登录用户及地址的记录,需仔细分析

二是尽快存档系统目录下所有日志文件,dir c:\windows\*.log /s文件,可能会寻找出一些踪迹

三是从当前系统中文件着手,像net share开放的情况,用户权限设置情况,重要文件的访问记录等着手

最后,还有一点是,由于ipc$访问仅限于内网,可稍无声息对内网所有主机大排查,工作是大了点,但如重要机密文件,还是有必要的
minimana 2010-03-20
  • 打赏
  • 举报
回复
谢谢你的提醒!
steptodream 2010-03-20
  • 打赏
  • 举报
回复
windows2003 server 不会饿
你发到windows专区吧

6,853

社区成员

发帖
与我相关
我的任务
社区描述
Windows 2016/2012/2008/2003/2000/NT
社区管理员
  • Windows Server社区
  • qishine
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧