một vài người dùng đã đăng nhập vào máy chủ thông qua RDP.
Tôi muốn theo dõi hoạt động , nhưng tôi không biết rõ về Windows Server.
Tôi hy vọng có những bản ghi của một số loại xung quanh mà tôi có thể tham khảo.
Có ý kiến gì không? :)
một vài người dùng đã đăng nhập vào máy chủ thông qua RDP.
Tôi muốn theo dõi hoạt động , nhưng tôi không biết rõ về Windows Server.
Tôi hy vọng có những bản ghi của một số loại xung quanh mà tôi có thể tham khảo.
Có ý kiến gì không? :)
Câu trả lời:
Một vài lựa chọn ..
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminhoặcOperationalBạn sẽ thấy danh sách phiên. Ngày / Dấu thời gian / IP / Tên người dùng, v.v. Bạn cũng có thể xem bên dướiApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Đây là một giải pháp trong PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Thông tin về các EventIds liên quan mà chúng tôi đang lọc có thể được tìm thấy ở đây:
Đối với các kết nối RDP bạn đặc biệt quan tâm đến LogType 10; Điều khiển từ xa; Ở đây tôi đã không lọc trong trường hợp các loại khác được sử dụng; nhưng thật tầm thường khi thêm một bộ lọc khác nếu cần.
Bạn cũng sẽ cần đảm bảo những bản ghi này được tạo ra; Để làm việc đó:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogonđểSuccessKhác với việc kết hợp với nhật ký sự kiện, tìm kiếm Logon Type 10 (Remote Desktop) trong Nhật ký bảo mật hoặc xem nhật ký sự kiện kênh TerminalService, bạn sẽ cần sử dụng phần mềm của bên thứ ba.
Ngoài TSL đã đề cập ở trên, đây là một cái khác tôi đã sử dụng thành công trong quá khứ - Trình báo cáo máy tính từ xa
http://www.rdpsoft.com/products
Nếu bạn đến bên thứ ba, hãy đảm bảo bạn đánh giá một số và nhận báo giá từ mỗi nhà cung cấp ... có sự khác biệt lớn về giá - một số nhà cung cấp giá cho mỗi người dùng được đặt tên, một số cho mỗi người dùng đồng thời và một số đơn giản chỉ bởi máy chủ. Cũng đảm bảo rằng giải pháp đi kèm với cơ sở dữ liệu của riêng nó hoặc một phiên bản SQL nhỏ - nếu không bạn cũng sẽ bị ảnh hưởng với chi phí giấy phép cơ sở dữ liệu.
Tôi đã xem qua hầu hết các câu trả lời miễn phí / giá cả phải chăng trên trang này cũng như tìm kiếm ở nơi khác (trong nhiều ngày, bao gồm cả việc đọc nhật ký Sự kiện được đề cập bởi Andy Bíchler) và đây là công cụ chặn và giám sát RDP miễn phí thay thế:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Tôi chưa thử nghiệm rộng rãi, nhưng đã tải xuống và quét nó (phiên bản di động) và mặc dù UI hơi xấu, nhưng nó vẫn hoạt động trên máy chủ 2012 R2 mà không gặp vấn đề gì. Đó là "thực hành", nhưng cũng không có trí tuệ và nhịp đập giải mã nhật ký sự kiện.
Ngoài ra còn có ts_block cho phép bạn tự động chặn các IP đang cưỡng bức RDP của máy chủ của bạn (mà tôi đoán sẽ có một số nhật ký về các lần thử RDP):
https://github.com/EvanAnderson/ts_block
Như bạn có thể thấy trong liên kết đó, tác giả là người dùng serverfault. Tôi đã không kiểm tra nó vì về cơ bản nó là một vbscript mà tôi sẽ cần phải mổ xẻ trước khi sử dụng. Nhưng, nó có vẻ đầy hứa hẹn.
Vấn đề với nhật ký sự kiện được Andy đề cập ở trên là chúng không rõ ràng hoặc mô tả về việc ai đang làm gì ... ít nhất là theo nghĩa độc hại. Bạn có thể tìm thấy Địa chỉ IP, nhưng thật khó để biết liệu chúng có liên quan đến tất cả các lần thử đăng nhập không thành công hay không. Vì vậy, một công cụ khác ngoài nhật ký vốn có dường như là bắt buộc nếu máy chủ của bạn phải đối mặt với internet và bạn có bất kỳ lo ngại nào về bảo mật.
trong sự kiện -
Nhật ký ứng dụng và dịch vụ \ Microsoft \ Windows \ dịch vụ máy tính để bàn từ xa
có tất cả các nỗ lực để kết nối với ndp và địa chỉ IP
Khi tôi làm quản trị viên vài năm trước, tôi gặp vấn đề như bạn bây giờ, tôi muốn theo dõi mọi người kết nối qua RDP và chính xác khi nào và nếu họ đang hoạt động hay không hoạt động.
Tôi đã đánh giá một vài sản phẩm nhưng quyết định không có sản phẩm nào đủ tốt cho tôi nên tôi đã tự xây dựng (vấn đề là mỗi loại có một đại lý hoặc dịch vụ để thu thập dữ liệu và giải pháp tôi tạo là sử dụng TS API để điều khiển từ xa máy chủ từ xa và trích xuất dữ liệu mà không cần bất kỳ tác nhân nào). Sản phẩm này được gọi là syskit (hoặc TSL như Jim đã đề cập) và nó được sử dụng rộng rãi trên toàn thế giới: D
Bạn có thể kiểm tra hoạt động của người dùng ở đây