Die Hackalarmierungen werden durch Auftreten von gewissen Ereignissen im Windows Ereignislog ermittelt. Sie können diese Ereignisse wie folgt finden:
Powershell:
Mit diesem Script: Get Event from Hack alert
Ereignisanzeige:
- Öffnen Sie die Windows Ereignisanzeige (beispielsweise durch Eingabe von "eventvwr" im Ausführen-Dialog)
- Wählen Sie hier Ereignisanzeige -> Windows-Protokolle -> Sicherheit
- Suchen Sie hier nun das entsprechende Event anhand der Uhrzeit heraus, zu der die Hackalarmierung aufgetreten ist. Häufig ist dies beispielsweise ein Event der EventID 4625 - alternativ suchen Sie nach dem Schlüsselwort "Fehler beim Anmelden eines Kontos." oder "Anmeldung fehlgeschlagen".
- Anhand des so gefundenen Events können Sie weitere Informationen erhalten:
Die bisherige Vorgehensweise, dass Hackalarmierungen im SEHA-Log gespeichert werden ist nicht mehr möglich, da Windows das Kopieren von Ereignissen nicht mehr erlaubt. Sie finden die Ereignisse daher nun exklusiv in der Originalquelle.