이벤트뷰어 - 감사실패

이벤트뷰어 로그인유형

https://blog.naver.com/ssamba/126564642

 - 로그온 유형3 (Logon Type3) : 네트워크 - 네트워크를 통한 원격 로그인 (파일공유, IIS 접속 등..)

 - 이벤트ID 4625 : 알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도

 - 실패감사 : 보안 이벤트 감사가 완료되지 않았음을 설명하는 이벤트

                 예를 들어 사용자가 네트워크 드라이버에 액세스 할 수 없을 때 실패감사 이벤트가 기록됨

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4625

https://serverfault.com/questions/690770/how-to-find-source-of-4625-event-id-in-windows-server-2012

이 이벤트는 대개 오래된 숨겨진 자격 증명으로 인해 발생합니다. 오류를 제공하는 시스템에서 다음을 시도하십시오.

 

명령 프롬프트에서 다음을 실행합니다. psexec -i -s -d cmd.exe

새 DOS 창에서 다음을 실행합니다. rundll32 keymgr.dll, KRShowKeyMgr

저장된 사용자 이름 및 암호 목록에 나타나는 항목을 제거하십시오. 컴퓨터를 다시 시작하십시오.

https://community.spiceworks.com/topic/237386-event-log-time-when-computer-start-up-boot-up

 - PC & Server 꺼진 시간 확인하는 법

   - 6013 - 

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1

 - Get-EventLog System -Source EventLog | Where-Object {$_.EventID -eq "6013"}

서버 이벤트 확인 (PoweShell)

https://blog.naver.com/bust0325/70178237642