5-9 - HolaSecurity

1. 利用事件日志（Event Logs）

这是最直接，也是最基础的方法。Windows 服务器和客户端都会记录用户的登录事件，我们可以通过分析这些日志来追踪域管理员的行踪

事件 ID 4624：这是成功登录的事件 ID。我们需要关注以下几个关键信息：
- Account Name：登录的账户名，我们要寻找域管理员账户，通常会包含 Domain Admins 组的成员
- Logon Type：登录类型
- Type 2：交互式登录（Interactive），意味着用户直接在机器上操作
- Type 10：远程交互式登录（RemoteInteractive），意味着通过远程桌面（RDP）登录
- Type 3：网络登录（Network），这意味着通过网络服务访问，比如文件共享
如何收集：
- 手动收集：登录到域控制器或其他服务器上，打开 事件查看器（Event Viewer），在 Windows 日志 -> 安全 中筛选事件 ID 4624。这对于小型网络尚可，但对于大型网络效率很低
- 脚本自动化：使用 PowerShell 脚本可以批量查询多台机器上的事件日志。例如，可以编写脚本遍历所有机器，然后筛选出域管理员的登录记录
- 集中式日志管理：在大型企业中，通常会有 ELK Stack (Elasticsearch, Logstash, Kibana) 或 Splunk 等集中式日志管理系统。如果有权限访问这些系统，可以直接通过强大的搜索功能来查询域管理员的登录历史，这是效率最高的方式