Hướng dẫn cách kiểm tra log IP login VPS Windows trên Remote Desktop Connection

 Chào các bạn, trong bài viết này Vinacloud.vn sẽ hướng dẫn các bạn cách kiểm tra IP Đã Remote Desktop vào VPS Windows khi nghi ngờ/phát hiện máy chủ của bạn bị truy cập trái phép.

Lưu ý: Nếu chắc chắn máy chủ bị truy cập trái phép, tuyệt đối không nên cố gắng thay đổi user/password. Vì cho dù thay đổi cũng không thể đảm bảo máy chủ của bạn đã được an toàn. Lời khuyên là nên cài đặt lại hệ điều hành và thực hiện các biện pháp bảo mật tốt nhất.

Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau:

Để kiểm tra log IP của các phiên đăng nhập vào VPS thông qua Remote Desktop, bạn có thể làm theo các bước sau:

  1. Mở Event Viewer trên VPS Windows. Bạn có thể mở Event Viewer bằng cách nhấn tổ hợp phím Windows + R, sau đó gõ "eventvwr.msc" và nhấn Enter.

  2. Trong cửa sổ Event Viewer, trên cột bên trái, mở rộng "Windows Logs" (Nhật ký Windows), sau đó chọn "Security" (Bảo mật).

  3. Trong cửa sổ chính của Security, bạn sẽ thấy danh sách các sự kiện bảo mật được ghi lại.

  4. Để lọc các sự kiện liên quan đến Remote Desktop, bạn có thể sử dụng tính năng tìm kiếm. Ở cửa sổ Event Viewer, nhấp vào "Filter Current Log" (Lọc nhật ký hiện tại) từ menu bên phải.

  5. Trong hộp thoại Filter Current Log, nhập các từ khóa sau vào ô "Filter":

    Event ID: 4624 AND Source Network Address: <IP_address>

    Thay bằng địa chỉ IP cụ thể mà bạn muốn kiểm tra.

  6. Nhấp vào nút "OK" để áp dụng bộ lọc.

  7. Cửa sổ Event Viewer sẽ chỉ hiển thị các sự kiện bảo mật có liên quan đến Remote Desktop và địa chỉ IP đã được lọc. Các sự kiện này thường có ID sự kiện là 4624, và trong chi tiết sự kiện, bạn có thể tìm thấy địa chỉ IP của phiên đăng nhập Remote Desktop.

  8. Bạn có thể nhấp đúp vào từng sự kiện để xem thông tin chi tiết và tìm địa chỉ IP trong phần "Network Information" (Thông tin mạng).

Lưu ý rằng chỉ có các sự kiện đăng nhập thành công sẽ được ghi lại trong log. Nếu phiên đăng nhập không thành công, sự kiện tương ứng có thể không xuất hiện trong log.

>>> Xem thêm: Hướng dẫn sử dụng VPS Windows bằng Remote Desktop connection cho người mới.

Hướng dẫn chi tiết bằng hình ảnh.

Bấm tổ hợp phím Windows+R sau đó nhập eventvwr

Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái

Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.

 

 

Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…

 

Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer) sẽ chỉ hiển thị các sự kiện có Event ID 4648

Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau:

Network Information:
Network Address: x.x.x.x
Port: 0


 

Trong đó Network Address là địa chỉ IPv4 của máy tính thực hiện Remote Destop tới VPS Windows, bạn có thể lần lượt xem từng dòng

Trường hợp bạn muốn tải file dạng excel về máy để xem cho tiện bạn có thể làm như sau 

>>> Xem thêm: Hướng dẫn đưa file lên VPS Windows từ máy tính đơn giản nhất

Phía bên phải chọn: Save Filtered Log File As...

 
Sau đó chọn Vị trí bạn cần lưu file, chọn định dạng File, bấm Save để tải file đó về 
 

 
Sau khi tải file thành công ở trên VPS Windows, bạn có thể copy File đó về máy tính của bạn để mở bằng excel và thực hiện các thao tác tìm kiếm hoặc lọc trên excel mà bạn muốn
 
Trên đây là hướng dẫn cách Hướng dẫn cách kiểm tra log Remote Desktop trên  VPS Server. Mọi chi tiết cần hỗ trợ vui lòng liên hệ với đội ngũ support của VinaCloud hoặc tham khảo thêm các bài viết tại đây
Chúc các bạn thành công!