mattisq 0 Geschrieben 19. November 2021 Melden Teilen Geschrieben 19. November 2021 Hallo Leute, ich weiss nicht so genau, ob ich hier richtig bin. Falls nicht, bitte ich dies zu entschuldigen. System ist noch WS 2019 Ich habe letztes Jahr noch den MCSA gemacht, den es mittlerweile ja nicht mehr gibt. Leider gibt es den MCSE Security usw auch nicht mehr. Falls doch, korrigiert mich. Das wäre großartig! Meine Frage ist, ob mir 'mal jemand den Event Viewer erklären kann oder Referenzen dazu hat. Es geht jetzt ersteinmal speziell um den RDP Login (IP whitelisted) Ich habe zwar das System soweit abgeschottet aber habe in der Security Log sehr viele Einträge. Task Category: Logon, Special Logon, Credential Validation, Security Group Management Dazu sind unter "General" und "Details" genaue Infos zu sehen. Und genau darum geht es mir. Das ist größtenteils für mich nicht zu verstehen. Ich habe da in den logs Logon, special Logon und User Account Management Einträge, zu Zeiten wo nicht connected wird. Unter "General" und "Details" stehen genauere Infos. Ich kann da auch maximal die Remote-IP rauslesen. Da scheint Windows intern irgendetwas zu checken - vermute ich. Aber ich will das 'mal versetehen und die Logs lesen können. Das ist schon sehr beängstigend nicht zu wissen, was da eigentlich passiert. Kann mir da sonst vielleicht jemand ein gutes Buch empfehlen? Welche Einträge sind da Relevant? In einigen sieht man die Remote IP - in anderen nicht - ohne Kennzeichnung in der Übersicht was Remote ist und was lokal Ich finde das alles etwas verwirrend. Wäre schön da ein paar Infos zu bekommen Schonmal dickes Danke für's lesen ;) Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 20. November 2021 Melden Teilen Geschrieben 20. November 2021 Moin, Deine Frage ist nachvollziehbar, aber leider so nicht zu beantworten. Um zu verstehen, was du verstehen willst, musst du nicht den Event Viewer verstehen, sondern die jeweilige Komponente, die ihre Meldungen ins Log schreibt. Ja, das kann jeweils eine sehr große Aufgabe sein. Leider wird dir faktisch nicht viel anderes übrig bleiben, als intensiv in der jeweiligen Situation zu recherchieren. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 20. November 2021 Melden Teilen Geschrieben 20. November 2021 vor 15 Stunden schrieb mattisq: Kann mir da sonst vielleicht jemand ein gutes Buch empfehlen? Welche Einträge sind da Relevant? Das nicht, aber die Dokumentation des Herstellers: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-auditing-faq Und die Relevanz der Einträge hängt davon ab, was Du versuchst festzustellen. Ich habe schon global agierende Konzerne erlebt, wo noch nie jemand ins Security Log auf irgendeinem System geschaut hat. Zitieren Link zu diesem Kommentar
mattisq 0 Geschrieben 17. Dezember 2021 Autor Melden Teilen Geschrieben 17. Dezember 2021 Hallo, Danke euch beiden. Der Link ist echt goldwert und vielversprechend. Ihr habt mir beide wirklich weiter geholfen. Beste Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.