วิธีดู Log การ Login บน Windows Server 2022 ตรวจสอบว่าใครเข้าใช้งานระบบ
การตรวจสอบ Log การ Login เป็นหนึ่งในงานสำคัญของผู้ดูแลระบบ Windows Server 2022 เพราะช่วยให้ทราบว่าใครเข้าสู่ระบบ เมื่อใด มาจากที่ไหน และมีความพยายามเข้าสู่ระบบที่ผิดปกติหรือไม่
หลายองค์กรเพิ่งทราบว่าถูกโจมตีหลังจากเกิดความเสียหายไปแล้ว ทั้งที่สัญญาณเตือนปรากฏอยู่ใน Log การ Login มาเป็นเวลานาน
บทความนี้จะอธิบายวิธีดู Log การ Login บน Windows Server 2022 พร้อม Event ID สำคัญที่ควรรู้สำหรับการตรวจสอบด้านความปลอดภัย
🔍 Log การ Login คืออะไร
Log การ Login คือบันทึกเหตุการณ์เกี่ยวกับการเข้าสู่ระบบ
ข้อมูลที่ถูกบันทึก เช่น
Username
เวลา Login
IP Address
เครื่องต้นทาง
ประเภทการ Login
ผลลัพธ์การ Login
ทั้งหมดถูกเก็บไว้ใน Security Log
🛡️ ทำไมต้องตรวจสอบ Login Log
ช่วยให้สามารถ
✅ ตรวจจับ Hacker
✅ ตรวจจับ Brute Force Attack
✅ ตรวจสอบการใช้งาน Admin
✅ ตรวจสอบการใช้งานนอกเวลา
✅ ตรวจสอบการเข้าถึงจากต่างประเทศ
ได้อย่างมีประสิทธิภาพ
🚀 วิธีเปิด Login Log
กด
Windows + R
พิมพ์
eventvwr.msc
กด Enter
📂 ไปยัง Security Log
เลือก
Windows Logs
จากนั้น
Security
จะพบ Event ทั้งหมดที่เกี่ยวข้องกับความปลอดภัย
🔎 Event ID 4624 คืออะไร
Event ID
4624
หมายถึง
An Account Was Successfully Logged On
หรือ
การ Login สำเร็จ
📋 ข้อมูลสำคัญใน Event 4624
ตรวจสอบ
Account Name
ชื่อผู้ใช้
Logon Time
เวลาเข้าสู่ระบบ
Source Network Address
IP ต้นทาง
Logon Type
ประเภทการ Login
🔐 ความหมายของ Logon Type
ค่าที่พบบ่อย
2
Interactive Login
หน้าเครื่อง
3
Network Login
เช่น File Share
10
Remote Desktop
RDP Login
ประเภทนี้สำคัญมากสำหรับ Server
🚨 Event ID 4625 คืออะไร
Event ID
4625
หมายถึง
Failed Logon
หรือ
เข้าสู่ระบบไม่สำเร็จ
🔥 หากพบ 4625 จำนวนมาก
อาจเป็น
Brute Force Attack
Password Spray
Credential Attack
โดยเฉพาะหากมาจาก IP เดียวกัน
ควรตรวจสอบทันที
🔒 Event ID 4634
Event ID
4634
หมายถึง
Logoff
ผู้ใช้ออกจากระบบ
ช่วยให้ตรวจสอบช่วงเวลาการใช้งานได้
👤 Event ID 4648
หมายถึง
Logon Attempt Using Explicit Credentials
มีการใช้ Credential พิเศษ
มักเกี่ยวข้องกับ
Run As
Administrative Task
Remote Management
🌐 วิธีดู IP Address ของผู้ใช้งาน
ใน Event
4624
หรือ
4625
ให้ดู
Source Network Address
ตัวอย่าง
192.168.1.100
หรือ
203.0.113.55
📊 วิธีกรองเฉพาะ Login Event
คลิก
Filter Current Log
ใส่
4624
หรือ
4625
ช่วยให้ค้นหาได้รวดเร็วขึ้น
🔍 ค้นหา Login ของ User เฉพาะ
ใช้
Find
แล้วค้นหา
Username
ที่ต้องการ
เหมาะสำหรับการตรวจสอบรายบุคคล
💾 Export Login Log
คลิก
Save All Events As
บันทึกเป็น
.evtx
เพื่อเก็บเป็นหลักฐานหรือวิเคราะห์เพิ่มเติม
🚨 สัญญาณผิดปกติที่ควรระวัง
ตัวอย่าง
Login ตอนตี 3
Login จากต่างประเทศ
Login จาก IP ที่ไม่รู้จัก
Login Failed จำนวนมาก
Administrator Login ผิดปกติ
ทั้งหมดควรได้รับการตรวจสอบ
🏢 Login Log บน Domain Controller
ควรตรวจสอบ
Domain Admin Login
Password Reset
Account Lockout
User Creation
ทุกวัน
📁 Login Log บน File Server
ควรตรวจสอบ
Access Shared Folder
Login ผ่าน SMB
User Activity
เพื่อป้องกัน Insider Threat
☁️ Login Log กับ SIEM
องค์กรขนาดใหญ่ควรส่ง Log ไปยัง
Microsoft Sentinel
Splunk
QRadar
Elastic SIEM
เพื่อวิเคราะห์แบบ Real-Time
📋 Security Checklist
ตรวจสอบให้ครบ
✅ Security Log Enabled
✅ Audit Logon Enabled
✅ Login Success Reviewed
✅ Login Failure Reviewed
✅ IP Address Checked
✅ Log Retention Configured
🏢 แนวทางสำหรับองค์กร
Microsoft แนะนำ
ตรวจสอบ Login Log ทุกวัน
ตรวจสอบ Event 4624
ตรวจสอบ Event 4625
เปิด Audit Policy
เก็บ Log ระยะยาว
เพื่อลดความเสี่ยงด้าน Security
ทีมดูแลระบบของ comsiam มักติดตาม Login Log บน Windows Server 2022 ทุกวัน โดยเฉพาะ Event ID 4624 และ 4625 เพื่อค้นหาความพยายามโจมตีและตรวจสอบการใช้งานบัญชี Administrator อย่างต่อเนื่อง
🚀 Security Best Practices
เปิด Audit Policy
ตรวจสอบ Login Log ทุกวัน
กรอง Event สำคัญ
ตรวจสอบ IP ต้นทาง
เก็บ Log อย่างน้อย 90 วัน
ใช้ SIEM สำหรับองค์กรขนาดใหญ่
สรุป
Log การ Login บน Windows Server 2022 เป็นแหล่งข้อมูลสำคัญที่ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบการเข้าถึงระบบ วิเคราะห์พฤติกรรมผู้ใช้งาน และค้นหาความผิดปกติด้านความปลอดภัยได้อย่างรวดเร็ว
สำหรับองค์กรและผู้ดูแลระบบของ comsiam การตรวจสอบ Event ID 4624 และ 4625 อย่างสม่ำเสมอ ถือเป็นส่วนสำคัญของ Security Hardening และช่วยลดความเสี่ยงจากการถูกโจมตีผ่านบัญชีผู้ใช้งานได้อย่างมีประสิทธิภาพ