[Crescendo] Event Log Problem 02

파일을 다운받아 열면 이벤트 뷰어 창이 뜬다.

1번 문제를 보면 "첫 번째 원격 로그인" 성립 시점이다.

작업 범주가 로그온 부분에 들어가서 이벤트 ID가 4624(계정이 성공적으로 로그온되었습니다.)인 부분을 찾는다.

다음에 볼꼐 로그온 유형이다. 이부분을 통해 어떻게 접속했는지 찾아야한다.

로그온  유형	로그온 제목	Description
2	대화형	사용자가 이 컴퓨터에 로그온했습니다. (LogMeIn, TeamView, KVM 포함)
3	네트워크	사용자 또는 컴퓨터가 네트워크상의 컴퓨터에 로그온했습니다. (파일 공유, IIS 접속 등)
4	배치	사용자가 직접 개입하지 않고 사용자를 대신하여 프로세스가 실행되는 배치 서버에 의해 배치 로그온 유형이 사용됩니다.
5	서비스	서비스 제어 관리자에 의해 서비스가 시작되었습니다.
7	잠금 해제	이 워크스테이션이 잠겼습니다. (화면보호기 잠금 해제)
8	네트워크 일반 텍스트	사용자가 네트워크상의 컴퓨터에 로그온했습니다. 사용자의 암호가 해시되지 않은 형식으로 인증 패키지에 전달되었습니다. 기본 제공 인증 패키지는 네트워크를 통해 자격 증명을 전달하기 전에 모두 해시합니다. 자격 증명은 일반 텍스트 형식으로 네트워크를 통과하지 않습니다. (ASP 기본 암호설정)
9	새 자격 증명	호출자가 현재 토큰을 복제하고 아웃바운드 연결에 대해 새 자격 증명을 지정했습니다. 새 로그온 세션에는 동일한 논리 ID가 있지만 다른 네트워크 연결에 대해 다른 자격 증명을 사용합니다.
10	원격 대화형	사용자가 터미널 서비스 또는 원격 데스크톱을 사용하여 원격으로 이 컴퓨터에 로그온했습니다. (터미널 서비스, 원격 접속, 원격지원으로 로그인)
11	캐시된 대화형	사용자가 컴퓨터에 로컬로 저장된 네트워크 자격 증명을 사용하여 이 컴퓨터에 로그온 했습니다. (PC에 캐쉬로 저장된 암호로 자동 입력 로그인)

문제에서는 "원격로그인" 이기 때문에 로그인 유형이 10인걸 찾으면되겠다. 

여기서 로그온 시간, 계정, IP 정보를 얻을수 있다.

Answer : 2016-10-14 07:02:10_DevJDoe_192.168.16.11