如何确定谁远程连接到事件日志？

Question

有没有办法找出哪个用户和/或哪台计算机正在远程访问我计算机的 Windows 事件日志文件？这些访问会锁定本地计算机上的应用程序，从而防止它们被删除。

此访问在 ProcessExplorer 中显示为从远程计算机上的 mmc.exe 到本地计算机上 svchost.exe 的端口 5001（运行“事件日志”服务）的 TCP 连接，但这就是我所能确定的。

我已经到处搜索这个答案，但没有找到任何特别有用的东西，包括使用 PowerShell 挖掘 WMI 对象。谢谢你的尽心帮助。

Answer 1

您可以使用网络监视器来嗅探该特定端口上的传入流量，源 IP 将清晰显示。为此：

• 从 Microsoft 下载网络监视器并将其安装到获取远程连接的 PC 中。这是一个免费工具。
• 创建一个新的捕获，并过滤传入端口 5001 的 tcp 连接（配置非常简单，UI 友好）。
• 开始捕获并等待数据包到达，您将在列表的“源”字段中看到源 IP。您甚至可以嗅探数据包内部并检查连接时是否显示有关身份验证的提示。