咨询广大网友一个问题。

记录到 MAC 地址没啥用的感觉，而且还对不上。。更没用了。。。。你咋能推断出是 A 用 B 的账号？

>目前日志只有访问 UA 头和 A 电脑的 Mac 地址
>然后变成日志记录的 Mac 地址经过转换已经不是 A 电脑的 Mac 地址

那么记录的 mac 到底是不是 A 电脑的 MAC ？
凭什么确定就是 A 登陆了 B 的账号呢？石锤在哪？

记录了机器名么？我们的机器加域的，会上报机器名和 IP……

如果业务系统没有做额外的记录，可以看看交换机那边的日志还有没有，一般企业用的交换机日志信息还是比较全的，能访问而且还没有被覆盖的话，去那里面找找。

@IvanLi127 B 账号是领导账号，而且 A 和 B 电脑的 IP 不同，B 账号根本没有登录记录

@ScotGu 日志记录的 mac 地址经过各种转换已经是网络设备的 mac 地址，如果记录是 A 电脑的 mac 地址就能实锤是 A 登录。目前就是想办法来实锤是 A 登录 B 账号，但 A 不承认。

@dot 机器名没有记录，日志只有 A 的 IP ，经过转换的 Mac 地址，A 的 UA 头

@Maxwe11 这确实是个办法，不过是异地办公，不知道那边的交换机有没有记录什么信息

ip 是固定分配的还是 dhcp 分配的？全公司所有电脑配置都一样吗？ ip 地址+ua 里浏览器版本、系统版本什么的，还不能确定是谁吗。这种事干了肯定不承认的，不管你拿出什么

如果事情特别重大，赶紧查封终端是正经，当然如果电脑不是公司的就基本寄了……

@shakoon 固定分配的 IP ，确定是 A ，但不承认就要想办法实锤

@paramagnetic A 说可能是其他同事修改 IP 为 A 电脑的，也不是没有可能，或者 A 使用非公司设备就更没得查了

op 是通过源 IP 确定是 A 的电脑访问的？如果在业务系统上看源 MAC 地址，应该看不到什么。得想办法查到整个链路的日志，如果日志都在，从你现在看到日志的系统用 IP 倒推到交换机的日志，再从交换机的日志里把 MAC 地址提出来就成了。

不过这个 B 领导。。。。泄露账号是不是先背个锅。。。。

我估计是 B 领导让 A 帮忙办个事，你们较真查清楚了的话，是打算两个人都开除？

报警吧。

@IvanLi127 对，今天按照这个思路查了下，不过下面网络设备的日志没开，什么都没记录到。离大谱。。

@66beta 如果我是 B 领导肯定会叫人来我的电脑前帮忙操作什么什么东西的，开除倒不至于，只是想实锤

@9136347 大可不必