Chi tiết cách kiểm tra log Remote Desktop trên VPS/Server

Kiểm tra log Remote Desktop là một hành động cần thiết nếu bạn nghi ngờ hoặc phát hiện thấy máy chủ của mình bị truy cập trái phép. Trong trường hợp bạn vẫn chưa biết cách thực hiện kiểm tra, hãy đọc ngay bài hướng dẫn kiểm tra log Remote Desktop chi tiết dưới đây.

Các bài viết tham khảo:

• Hướng Dẫn Đổi Mật Khẩu Máy Chủ Ảo VPS Windows
• Hướng Dẫn Sử Dụng VPS Windows Với Remote Desktop Chi Tiết Nhất
• Cách Đổi DNS Của VPS Windows Nhanh Nhất

Kiểm tra log Remote Desktop kết nối thành công

Trước khi tiến hành kiểm tra log Remote Desktop đăng nhập thành công, bạn cần nắm rõ ý nghĩa của các thuật ngữ chuyên dụng sau:

• Event ID: ID sự kiện
  • ID 4648: Được dùng để xem IP đã kết nối tới VPS bằng Remote Desktop Win 10.
  • ID 4624: Được dùng để xem các dữ liệu và thông tin liên quan đến event.
• Log Name: Là tên bản tin log
• Phần bản tin: Chứa những thông tin log
• Logged: Thời gian xảy ra sự kiện
• Level: Mức độ cảnh báo
• Computer: Tên máy tính đã được đăng nhập

Để kiểm tra log Remote Desktop, các bạn chỉ cần làm theo các hướng dẫn sau đây:

Bước 1: Bạn vào mục Start, bấm chọn Run hoặc dùng tổ hợp phím Windows+R để có thể mở Event Viewer.

Bước 2: Bạn tiến hành nhập “eventvwr” vào thanh trắng

Bước 3: Trong giao diện của Event Viewer, bạn tìm chọn Windows Logs, chọn tiếp vào Security.

Bước 4: Ở cửa sổ bên trái sau khi chọn Security, bạn nhấn chọn Filter Current Log 

Bước 5: Bạn nhập dòng ID 4648 vào hộp văn bản trống bên dưới mục <All Event IDs, nằm trong hộp thoại Filter Current Log.

Bước 6: Bạn nhấn OK để tiến hành lọc nhật ký Event Log

Lúc này, trình xem sự kiện (hay Event Viewer) sẽ xuất hiện các sự kiện mang Event ID 4648.

Bước 7: Nhấp đúp chuột 2 lần chọn Event ID bạn muốn xem để có thể xem chi tiết hơn về Event ID đó. Kéo phần mô tả của nội dung xuống và bạn sẽ thấy các phần thông tin cụ thể như sau:

• Network Information:
• Network Address: x.x.x.x
• Port: 0

Trong đó Network Address chính là địa chỉ IP mà máy tính đã thực hiện cách Remote Desktop thành công đến máy chủ VPS.

Để có thể kiểm tra thêm các mục thông tin khác, bạn làm như sau:

• Nhấn chuột và chọn Filter Current Log ở cửa sổ bên trái để xuất hiện hộp thoại tiếp theo.
• Trong hộp thoại tiếp theo, bạn nhập dòng ID 4624 vào hộp văn bản dưới <All Event IDs>
• Nhấn OK để tiến hành lọc nhật ký Event log

Lúc này, Event Viewer sẽ hiển thị các sự kiện có liên quan Remote Desktop. Tiếp theo, bạn hãy cùng Vmon.vn tìm hiểu cách kiểm tra log Remote Desktop kết nối thất bại (do sai username hoặc password , v.v) với mục dưới đây nhé!

Kiểm tra log Remote Desktop kết nối thất bại 

Để kiểm tra log Remote Desktop kết nối thất bại (do sai username hoặc password, v.v) và tiến hành các biện pháp khắc phục hợp lý. Bạn cần làm theo các bước hướng dẫn sau:

Bước 1: Trong trình xem sự kiện Event Viewer bạn chọn “ Applications and Services Logs” , sau đó chọn Microsoft, rồi chọn Windows, tiếp tục chọn  RemoteDesktopServices-RdpCoreTS, chọn tiếp Operational và chọn Filter Current Log.

Bước 2: Trong hộp thoại Filter Current Log, bạn nhập dòng ID 140 vào hộp văn bản nằm bên dưới <All Event IDs>

Bước 3: Nhấn vào chữ OK để tiến hành lọc nhật ký Event log.

Lúc này, Trình xem sự kiện của máy sẽ chỉ hiển thị các sự kiện có liên quan tới thao tác với Remote Desktop thất bại.

Các thuật ngữ bạn nên biết:

• Event ID: ID sự kiện
  • ID 140: Được dùng để xem IP máy đã thực hiện Remote Desktop thất bại
• Log Name: Là tên bản tin log
• Phần bản tin: Chứa những thông tin log
• Logged: Thời gian xảy ra sự kiện
• Level: Mức độ cảnh báo
• Computer: Tên máy tính đã được đăng nhập

Chỉ cần thực hiện đúng các bước trên, các bạn có thể thành công kiểm tra log Remote Desktop kết nối thất bại rồi.

Tiếp theo, Vmon.vn sẽ hướng dẫn các bạn tìm ra tên User đã kết nối Remote Desktop không thành công tới máy chủ VPS.

Tìm tên User kết nối Remote Desktop thất bại tới máy chủ

Bạn cần tiến hành các bước như sau để tìm ra tên user kết nối thất bại với máy chủ:

Bước 1: Trong Event Viewer, bạn nhấn chọn Windows Logs, rồi nhấn chọn Security và chọn Filter Current Log.

Bước 2: Trong hộp thoại của Filter Current Log, bạn nhập “ID 4625” vào hộp văn bản ở bên dưới <All Event IDs>

Bước 3: Bạn nhấn OK để tiến hành lọc nhật ký sự kiện

Bước 4: Click chuột 2 lần vào số Event ID cần kiểm tra để thấy một cửa sổ hiện lên, phần mô tả sẽ có trường Account Name, đây là tên User kết nối thất bại tới VPS.

Các thuật ngữ liên quan:

• Event ID: ID sự kiện
  • ID 4625: Được dùng để xem các thông tin, dữ liệu liên quan về Event Remote Desktop thất bại
• Log Name: Là tên bản tin log
• Phần bản tin: Chứa những thông tin log
• Account Name: Tên user
• Logged: Thời gian xảy ra sự kiện
• Level: Mức độ cảnh báo
• Computer: Tên máy tính đã được đăng nhập

Như vậy là bạn đã có thể dễ dàng kiểm tra log Remote Desktop kết nối thành công/thất bại khi đăng nhập VPS Windows trên máy tính rồi. Chỉ cần làm theo các bước chỉ dẫn phía trên, chắc chắn bạn có thể tự mình tìm ra được kết quả.

Nếu bạn thực hiện các bước kiểm tra log Remote Desktop như phía trên nhưng không thành công. qua mục chat của website để được chúng tôi giải đáp nhanh nhất nhé!

Xem thêm :

Hướng dẫn cài đặt Apache trên Windows