Suchen Sie im Windows-Ereignisprotokoll nach Ereignissen für Verbindungen zu einem freigegebenen Laufwerk

Ich arbeite an einem Universitätsinstitut. Wir verwenden Microsoft Windows 7 Enterprise mit einem zentralen Server für unsere Infrastruktur. Die servergespeicherten Benutzerprofile und ein freigegebenes Laufwerk befinden sich auf dem Server.

Gestern wurde (vermutlich) einer unserer Laptops gestohlen. Nun möchten wir untersuchen, wann dies der Fall war, um festzustellen, ob noch Personen im Institut anwesend waren oder nicht.

Meine Idee ist, das Microsoft-Ereignisprotokoll zu verwenden und nach dem Namen / der IP-Adresse des Computers zu suchen und zu sehen, wann der Server die Verbindung zur Workstation verloren hat. In welcher Kategorie muss ich danach suchen, oder werden diese Informationen überhaupt protokolliert?

Gibt es eine bessere Möglichkeit, herauszufinden, wann der Computer das letzte Mal online war?

Es werden keine Ereignisse in das Windows-Ereignisprotokoll geschrieben, wenn ein Client die Verbindung zu einer SMB-Freigabe auf einem Server verliert. Das einzige Ereignis, das mir in den Sinn kommt, dass:

1. Wird von einer Standard- / integrierten Windows-Komponente generiert
2. Protokolliert ein Ereignis bei einer Art "Disconnect" -Ereignis

Dies liegt vor, wenn sich der Laptop zu dem Zeitpunkt, als der Computer vom Netzwerk getrennt wurde, in einer aktiven Remotedesktopsitzung befand. In diesem Fall schreibt der Server ein Ereignis mit der Ereignis-ID 56der Quelle TermDDwie folgt in das Systemprotokoll :

Die Terminalserver-Sicherheitsschicht hat einen Fehler im Protokolldatenstrom festgestellt und die Verbindung zum Client getrennt. Client-IP: 10.84.0.67.

Die IP-Adresse ist die des Clients (Laptops). Sie müssen also Ihren DHCP-Server überprüfen, um festzustellen, welche IP-Adresse Ihrem Computer zuletzt zugewiesen wurde.

Eine weitere Option: Sicherheitsereignisse

Möglicherweise können Sie kein Ereignis finden, das den genauen Zeitpunkt aufzeichnet, zu dem der Client vom Netzwerk getrennt wurde (es sei denn, Sie haben das Glück, über einen zentral verwalteten Wireless-Controller zu verfügen, der alle Wireless-Ereignisse protokolliert, was ein guter Gedanke ist). Es besteht jedoch eine gute Chance, dass Sie feststellen können, wann die Maschine das letzte Mal tatsächlich mit dem Netzwerk verbunden war . Mit etwas Glück können diese Informationen in irgendeiner Weise hilfreich sein.

Abhängig von der Konfiguration Ihres Servers können bestimmte clientseitige Ereignisse wie der Serverzugriff während des Systemstarts, die Benutzeranmeldung usw. dazu führen, dass Ereignisse in das Windows-Sicherheitsereignisprotokoll auf dem Server geschrieben werden. Beispielsweise können Sie Ereignisse mit den folgenden IDs finden, die die Aktivität von Ihrem Zielcomputer bestätigen und einen entsprechenden Datums- / Zeitstempel bereitstellen:

• Ereignisid 4624 - ein Konto wurde erfolgreich angemeldet
• Ereignisid 4625 - ein Konto konnte sich nicht anmelden
• Ereignis-ID 4648 - Es wurde versucht, sich mit expliziten Anmeldeinformationen anzumelden

In den verlinkten Artikeln wird erläutert, wie die einzelnen Ereignisse interpretiert werden. Leider können in einem aktiven Netzwerk viele solcher Ereignisse protokolliert werden, was das Auffinden der relevanten Ereignisse sehr zeitaufwändig machen kann.