Я пытаюсь выяснить, какой процесс или пользователь изменил брандмауэр с Off на On.
Итак, я отправил запрос в LogParser:
SELECT
timegenerated,
EXTRACT_TOKEN(Strings,1,'|') AS Domain,
EXTRACT_TOKEN(Strings,0,'|') AS User,
EXTRACT_TOKEN(Strings,3,'|') AS SessionName,
EXTRACT_TOKEN(Strings,4,'|') AS ClientName,
EXTRACT_TOKEN(Strings,5,'|') AS ClientAddress,
EventID
FROM Security
WHERE timegenerated > '2014-02-18 18:30:00' AND timegenerated < '2014-02-18 18:32:50'
ORDER BY timegenerated DESC
И я мог видеть следующую строку (среди многих других):
timegenerated Domain User SessionName ClientName ClientAddress EventID
2014-02-18 18:30:07 Enable Windows Firewall Domain NULL NULL NULL 4950
Это не говорит много. Что я должен выполнить, чтобы узнать пользователя или процесс, который включил брандмауэр? Этот пользователь может подключаться удаленно или он может быть локальным.
КСТАТИ. Эта информация из logparser теперь исчезла ... Я должен был сохранить это.
Редакция № 1, 19-02-2014 07:20 UTC:
Я пошел к зрителю событий.
Оттуда в левом меню / дереве я щелкнул: Applications and Services Logs -> Microsoft -> Windows -> Windows Firewall With Advanced Security -> Firewall .
И тогда я увидел, что пользователь (здесь называемый UserNameFooBar) включил брандмауэр:
A Windows Firewall setting in the Domain profile has changed.
New Setting:
Type: Enable Windows Firewall
Value: No
Modifying User: DomainName\UserNameFooBar
Modifying Application: C:\Windows\explorer.exe
Это было зарегистрировано в 18.02.2014 18:30:07.
Но как я могу сказать:
- Этот пользователь является системным пользователем (означает, что Windows использовала этого пользователя для выполнения действия)?
- Этот пользователь подключен локально или удаленно?