服务器被入侵后如何查看哪些IP曾远程登录过？

如果怀疑服务器被入侵，可以通过以下步骤查看哪些IP曾远程登录过：

1. 事件查看器：远程登录服务器后，打开“事件查看器”，选择“安全”日志，筛选ID为4624的日志条目，这些记录包含了成功的登录事件。
2. 分析日志：导出日志文件，使用日志分析工具（如LogParser、ELK Stack等）进行详细分析，找出可疑的登录IP。
3. 加强安全措施：立即更改所有相关账户的密码，启用防火墙和入侵检测系统，定期更新系统补丁，防止再次被入侵。