Pessoal boa tarde, seguinte, tenho um servidor MS RDP que conecto via NAT. Analisando os logs do servidor percebi que tive uma tentativa de acesso de vários nomes de usuários tipo ex: admin , aloha , radmin posuser , administrador , ncrsvr , user01 , aod
, greengroup , CCEemplyer etc, lançaram o evento 4625 de falha logon por volta das 23:00 às 23:27 da noite. O Detalhe é o seguinte entre 23:28 até 7:00 da manha meu servidor não tem mais logs de nada, ou seja , parece que conseguiram logar e apagaram os logs.
Queria ajuda de vocês, se teria de alguma maneira eu ver pelo menos o IP de onde veio, ou o que vocês fariam pra saber oq estavam procurando.
Agradeço pela força
Abs.