Mengecek apakah server Windows kita telah di restart

Posted by sabtowordpress on June 9, 2017
Posted in: Microsoft. Tagged: , , , , , , , , , , , , . Leave a comment

Assalamualaikum Warrahmatullahi Wabarakatuh

Menyambung dari postingan saya sebelumnya mengenai Bagaimana cara mengetahui server Linux kita telah direstart. Kali ini saya akan membawakan versi Windows nya.

Langsung saja berikut langkah-langkah cara mengecek apakah server Windows kita telah di restart oleh seseorang dan siapakah pelakunya?

1. Cek Uptime Server
Cara ini untuk mengetahui berapa lama server kita telah running. Jika kita terakhir merestart server seminggu lalu, maka seharusnya uptime yang muncul adalah 7days. Tetapi jika uptime yang muncul kurang dari 7days, maka server kita telah direstart.
Masuk ke CMD > lalu ketikkan command berikut:
systeminfo | find “System Boot Time:”

Berdasarkan gambar diatas, server nya telah up saat jam 14:17, padahal waktu saat ini menunjukan pukul 14:43. Berarti server kita telah direstart pada sekitar jam 14:17.

2. Cek Remote Desktop Log.
Setelah kita tahu bahwa server kita terestart sekitar pukul 14:17, langkah selanjutnya kita lihat apakah ada orang yang login ke server kita pada waktu tersebut.
Masuk ke Event Viewer > Lalu menuju ke Application and Service Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational. Kemudian cari lah log RDP Login sekitar sebelum pukul 14:17.

Pada event tersebut terdapat tulisan seperti berikut:
Remote Desktop Services: Session reconnection succeeded:
User: EXCHANGE1\Administrator
Session ID: 1
Source Network Address: 192.168.1.103
Ini menunjukkan bahwa pada pukul 14:17:09, seseorang dari IP 192.168.1.103 berhasil login ke server menggunakan user Administrator.

3. Cek dari mana IP tersebut berasal
Jika kita ingin tahu dari manakah IP tersebut berasal, maka kita bisa menggunakan tools GeoIP. Kita bisa mengunjungi link berikut: https://www.iplocation.net/. Kemudian masukkan IP nya dan klik IP Lookup.

4. Blok IP tersebut
Sebagai langkah mitigasi nya, kita bisa melakukan blocking pada IP tersebut melalui Firewall yang ada di server. Langkah-langkah nya adalah sebagai berikut:
a) Buka aplikasi Windows Firewall with Advance Security
b) Pilih Inbound Rules > New Rules
c) Selanjutnya ikuti Screenshot berikut

Sekian langkah-langkah mengenai cara mengetahui siapa yang merestart server kita dan semoga bermanfaat 🙂 Sekali lagi terimakasih telah mengunjungi blog saya.

Wassalamualaikum Warrahmatullahi Wabarakatuh

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s