ตรวจสอบ Authentication Log บน Windows Server 2022 แบบละเอียด
Authentication Log เป็นข้อมูลสำคัญที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบการ Login, Logout, การยืนยันตัวตน และความพยายามเข้าถึงระบบภายใน Active Directory ได้อย่างละเอียด
Windows Server 2022 มีระบบ Audit และ Logging ที่สามารถบันทึกเหตุการณ์ด้านความปลอดภัยได้ครบถ้วน ทำให้สามารถวิเคราะห์ปัญหา Login ไม่ได้, ตรวจสอบการโจมตี และติดตามพฤติกรรมผู้ใช้งานได้อย่างมีประสิทธิภาพ
บทความนี้จะอธิบายวิธีตรวจสอบ Authentication Log บน Windows Server 2022 แบบละเอียด พร้อม Event ID สำคัญที่ผู้ดูแลระบบควรรู้
📌 Authentication Log คืออะไร
Authentication Log คือบันทึกเหตุการณ์เกี่ยวกับการยืนยันตัวตน
เช่น
User Login
User Logout
Failed Login
Kerberos Authentication
NTLM Authentication
Account Lockout
Password Change
ข้อมูลเหล่านี้ถูกเก็บไว้ใน
Security Log
ภายใน Event Viewer
🎯 ทำไมต้องตรวจสอบ Authentication Log
Authentication Log ช่วยให้สามารถ
✅ ตรวจสอบการ Login
✅ วิเคราะห์ปัญหา Login ไม่ได้
✅ ตรวจจับ Brute Force Attack
✅ ตรวจสอบ Account Lockout
✅ ตรวจสอบการเปลี่ยนรหัสผ่าน
✅ ติดตามกิจกรรมผู้ใช้งาน
หลายองค์กรที่ comsiam ดูแล ใช้ Authentication Log เป็นเครื่องมือหลักในการตรวจสอบเหตุการณ์ด้านความปลอดภัย
🚀 เปิด Event Viewer
เปิด Run
รัน
eventvwr.msc
หรือเปิดผ่าน
Server Manager
→ Tools
→ Event Viewer
📂 ตำแหน่ง Authentication Log
ไปที่
Windows Logs
└ Security
Log ด้าน Authentication ส่วนใหญ่จะอยู่ที่นี่
🔍 Event ID สำคัญที่ควรรู้
① Event ID 4624
Login สำเร็จ
An account was successfully logged on
② Event ID 4625
Login ไม่สำเร็จ
An account failed to log on
③ Event ID 4634
Logout
An account was logged off
④ Event ID 4740
Account Lockout
A user account was locked out
⑤ Event ID 4723
Password Change
Password change attempt
⑥ Event ID 4724
Password Reset
Password reset attempt
🔍 ตรวจสอบ User Login
ใน Event Viewer
เลือก
Filter Current Log
ใส่
4624
จะเห็นรายการ Login ทั้งหมด
👤 ดูว่าใคร Login
ภายใน Event
ตรวจสอบ
Account Name
ตัวอย่าง
somchai
🖥️ ตรวจสอบเครื่องที่ Login
ดูค่า
Workstation Name
หรือ
Source Network Address
🌐 ตรวจสอบ IP Address
ตัวอย่าง
192.168.1.100
ช่วยระบุได้ว่า Login มาจากเครื่องใด
❌ ตรวจสอบ Failed Login
Filter Event
4625
ตรวจสอบ
Username
Source IP
Failure Reason
🔒 ตรวจสอบ Account Lockout
Filter
4740
จะพบ
Locked Out Account
พร้อมเครื่องต้นทาง
🔍 ตรวจสอบ Password Change
Filter
4723
และ
4724
⚙️ เปิด Audit Policy
เปิด
gpmc.msc
ไปที่
Computer Configuration
└ Windows Settings
└ Security Settings
└ Advanced Audit Policy
🔄 เปิด Audit Logon
เลือก
Audit Logon
เปิด
Success
Failure
ทั้งสองรายการ
🖥️ ตรวจสอบผ่าน PowerShell
รัน
Get-WinEvent
-LogName Security
-MaxEvents 50
🔍 ตรวจสอบ Event ID 4624
รัน
Get-WinEvent `
-FilterHashtable @{
LogName='Security'
ID=4624
}
📊 Export Log เป็น CSV
รัน
Get-WinEvent `
-LogName Security |
Export-Csv
C:\Logs\Security.csv
⚠️ สัญญาณผิดปกติที่ควรเฝ้าระวัง
Failed Login จำนวนมาก
Lockout บ่อย
Login นอกเวลางาน
Login จาก IP แปลก
Login ด้วย Administrator
Password Reset โดยไม่ได้รับอนุญาต
📖 ตรวจสอบ Kerberos Authentication
Event ID
4768
4769
4771
เกี่ยวข้องกับ Kerberos
🔍 ตรวจสอบ NTLM Authentication
Event ID
4776
ใช้วิเคราะห์ระบบที่ยังใช้ NTLM
📋 Checklist การตรวจสอบ Authentication Log
① ตรวจสอบ Login Success
② ตรวจสอบ Login Failure
③ ตรวจสอบ Account Lockout
④ ตรวจสอบ Password Change
⑤ ตรวจสอบ Kerberos Event
⑥ ตรวจสอบ IP Address
⑦ Export Log เก็บไว้
📈 Best Practices สำหรับ Authentication Monitoring
① เปิด Audit Success และ Failure
② เก็บ Log อย่างน้อย 90 วัน
③ ตรวจสอบ Event ID 4625 ทุกวัน
④ ตรวจสอบ Account Lockout ทันที
⑤ ส่ง Log เข้า SIEM
⑥ สำรอง Log เป็นประจำ
หลายองค์กรที่ comsiam ดูแล มีการส่ง Authentication Log ไปยังระบบ SIEM เพื่อวิเคราะห์พฤติกรรมผิดปกติและแจ้งเตือนแบบ Real-Time
🎯 สรุป
Authentication Log บน Windows Server 2022 เป็นเครื่องมือสำคัญสำหรับการติดตามการ Login, Failed Login, Password Change และเหตุการณ์ด้านความปลอดภัยทั้งหมดภายใน Active Directory
การตรวจสอบ Event Viewer, Security Log และ Event ID สำคัญอย่างสม่ำเสมอ จะช่วยให้ผู้ดูแลระบบสามารถค้นหาปัญหา ตรวจจับภัยคุกคาม และเพิ่มความปลอดภัยให้กับองค์กรได้อย่างมีประสิทธิภาพ