一些用户通过RDPlogin到服务器。
我想监视活动 ,但不知道我的方式在Windows Server那么好。
我希望有一些周围的日志,我可以咨询。
有任何想法吗? 🙂
几个选项..
eventvwr.msc ) Applications and Services Logs – > Microsoft – > Windows – > TerminalServices-LocalSessionManager Admin或Operational 你会看到会话列表。 date/时间戳/ IP /用户名等。您还可以查看Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
除了梳理事件日志,在安全日志中查找logintypes10(远程桌面)或查看TerminalServices通道事件日志之外,还需要使用第三方软件。
除了上面提到的TSL,这里还有一个我曾经用过的成功的远程桌面报告器
http://www.rdpsoft.com/products
如果你去第三方,确保你评估几个,并从每个供应商得到报价…有一个巨大的价格差异 – 一些供应商价格每名用户,一些并发用户,一些简单的服务器。 请确保解决scheme带有自己的数据库或SQL的精简版本 – 否则您也会遇到数据库许可证费用。
以下是PowerShell中的一个解决scheme:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{ (new-object -Type PSObject -Property @{ TimeGenerated = $_.TimeGenerated ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1' UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1' UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1' LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1' }) } | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP ` , @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} ` , @{N='LogType';E={ switch ($_.LogonType) { 2 {'Interactive (logon at keyboard and screen of system)'} 3 {'Network (ie connection to shared folder)'} 4 {'Batch (ie scheduled task)'} 5 {'Service (ie service start)'} 7 {'Unlock (ie post screensaver)'} 8 {'NetworkCleartext (ie IIS)'} 9 {'NewCredentials (ie local impersonation process under existing connection)'} 10 {'RemoteInteractive (ie RDP)'} 11 {'CachedInteractive (ie interactive, but without network connection to validate against AD)'} default {"LogType Not Recognised: $($_.LogonType)"} } }}
关于我们正在过滤的相关EventIds的信息可以在这里find:
对于RDP连接,您对LogType 10特别感兴趣; RemoteInteractive; 这里我没有过滤,以防其他types的使用; 但是如果需要添加另一个filter是微不足道的。
您还需要确保创build这些日志; 要做到这一点:
Start Control Panel Administrative Tools Local Security Policy Security Settings > Advanced Audit Policy Configuration > System Audit Policies - Local Group Policy Object > Logon/Logoff Audit Logon Success 您可以设置AD中的任何用户帐户进行远程控制,以查看或与用户的会话交互,转到任务pipe理器中的用户选项卡,右键单击并select“远程控制”。 然后你可以查看他们的会话。
我已经浏览了这个页面的大部分免费/合理的答案,以及在其他地方(包括阅读Andy Bichler提到的事件日志)在内的其他地方进行search,以下是一个免费的RDP监视和阻止工具:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
我还没有广泛的testing,但下载和扫描它(便携版),虽然用户界面有一点丑陋的一面,它到目前为止工作在2012 R2服务器没有问题。 这是“双手”,但也是一个不费吹灰之力,并破译事件日志。
还有ts_block,它允许你自动阻止暴力强制你的服务器的RDP的IP(我猜测会有一些RDP尝试日志):
https://github.com/EvanAnderson/ts_block
正如您在该链接中看到的,作者是一个serverfault用户。 我没有testing它,因为它基本上是一个vbscript,我需要解剖之前使用。 但是,这看起来很有希望。
Andy上面提到的事件日志的问题在于,对于谁在做什么……至less在恶意的意义上来说,他们并不是非常清楚或者描述性的。 您可以findIP地址,但是很难判断它们是否与所有不成功的login尝试有关。 所以,除了固有的日志之外的其他工具似乎几乎是强制性的,如果你是服务器是面向互联网,你有任何关于安全的问题。
在事件日志中 –
应用程序和服务日志\ Microsoft \ Windows \远程桌面服务-rdpcorets
有所有尝试连接到rdp和ip地址
几年前,当我以pipe理员身份工作时,我的问题就像现在一样,我想监视通过RDP连接的每个人,以及他们是在何时以及是否处于活动状态或空闲状态。
我已经评估了一些产品,但没有一个对我来说足够好,所以我build立了我自己的(问题是每个人都有某种代理或服务来收集数据,而我build立的解决scheme是使用TS API来远程访问远程服务器和提取数据没有任何代理)。 该产品现在称为syskit(或吉姆提到的TSL),并在世界各地广泛使用:D
你可以在这里检查用户活动
你可以看看这里 这是Windows XP的,但大部分仍然有效。 http://theillustratednetwork.mvps.org/RemoteDesktop/RemoteDesktopSetupandTroubleshooting.html