birkaç kullanıcı RDP aracılığıyla bir sunucuya giriş yaptı.
Etkinliği izlemek istiyorum , ancak Windows Server'da bu kadar iyi yolumu bilmiyorum.
Etrafımda danışabileceğim bir çeşit kütük olmasını umuyorum.
Herhangi bir fikir? :)
birkaç kullanıcı RDP aracılığıyla bir sunucuya giriş yaptı.
Etkinliği izlemek istiyorum , ancak Windows Server'da bu kadar iyi yolumu bilmiyorum.
Etrafımda danışabileceğim bir çeşit kütük olmasını umuyorum.
Herhangi bir fikir? :)
Yanıtlar:
Birkaç seçenek ..
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminveyaOperationalOturum listesini göreceksiniz. Tarih / Zaman Damgası / IP / KullanıcıAdı vb.Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
İşte PowerShell'de bir çözüm:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Filtrelediğimiz ilgili EventIds ile ilgili bilgileri burada bulabilirsiniz:
RDP bağlantıları için özellikle LogType 10; RemoteInteractive; burada diğer türlerin kullanılması durumunda filtrelemedim; ancak gerekirse başka bir filtre eklemek önemsizdir.
Ayrıca bu günlüklerin oluşturulduğundan emin olmanız gerekir; bunu yapmak için:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogoniçinSuccessOlay günlüklerini taramak, Güvenlik Günlüğünde Oturum Açma Türü 10'u (Uzak Masaüstü) aramak veya TerminalServices kanal olay günlüklerini aramak dışında üçüncü taraf yazılımları kullanmanız gerekir.
Yukarıda belirtilen TSL'ye ek olarak, geçmişte başarılı bir şekilde kullandığım bir diğer - Remote Desktop Reporter
http://www.rdpsoft.com/products
Üçüncü tarafa giderseniz, birkaç satıcıyı değerlendirdiğinizden ve her satıcıdan fiyat teklifleri aldığınızdan emin olun ... fiyatta büyük bir tutarsızlık vardır - bazı satıcılar belirtilen kullanıcı başına, bazıları eşzamanlı kullanıcı başına ve bazıları sadece sunucuya göre. Çözümün kendi veritabanıyla veya SQL'in lite sürümüyle geldiğinden de emin olun - aksi takdirde veritabanı lisans maliyetleriyle de karşılaşırsınız.
Bu sayfadaki ücretsiz / uygun fiyatlı cevapların çoğunu yaşadım ve başka bir yerde aradım (Andy Bichler tarafından belirtilen Etkinlik günlüklerini okumak da dahil olmak üzere günlerce) ve işte alternatif bir ücretsiz RDP izleme ve engelleme aracı:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Kapsamlı bir şekilde test etmedim, ancak indirip taradım (taşınabilir sürüm) ve UI çirkin tarafta olmasına rağmen, şimdiye kadar sorunsuz bir 2012 R2 sunucusunda çalışıyor. Bu "eller açık" ama bir beyinsiz de ve olay günlüklerini deşifre yener.
Sunucunuzun RDP'sini zorlayan kaba IP'leri otomatik olarak engellemenize izin veren ts_block da var (sanırım bazı RDP girişimleri günlüğü olurdu):
https://github.com/EvanAnderson/ts_block
Bu bağlantıda görebileceğiniz gibi, yazar bir sunucu hatası kullanıcısıdır. Temelde kullanmadan önce incelemek gerekir bir vbscript olarak test etmedim. Ancak, umut verici görünüyor.
Yukarıda Andy tarafından belirtilen olay günlükleriyle ilgili sorun, kimin ne yaptığını çok açık veya açıklayıcı olmamasıdır ... en azından kötü niyetli bir anlamda. IP Adreslerini bulabilirsiniz, ancak tüm başarısız giriş denemeleriyle ilişkili olup olmadığını söylemek zor. Yani, sunucunuz internete dönükse ve güvenlikle ilgili herhangi bir endişeniz varsa, doğal günlüklerden başka bir araç neredeyse zorunlu görünüyor.
olay günlüğünde -
Uygulama ve Hizmet Günlükleri \ Microsoft \ Windows \ uzak masaüstü hizmetleri-rdpcorets
rdp ve ip adresine bağlanma girişimleri var
Birkaç yıl önce yönetici olarak çalışırken, şimdi sizin gibi bir sorunum vardı, RDP aracılığıyla bağlanan herkesi ve tam olarak ne zaman aktif veya boşta olduklarını izlemek istedim.
Birkaç ürünü değerlendirdim ancak hiçbirinin benim için yeterince iyi olmadığına karar verdim, bu yüzden kendiminkini oluşturdum (sorun her veri toplamak için bir tür ajan veya hizmete sahipti ve yaptığım çözüm TS API'yı uzaktan kullanmak için uzak sunucu ve herhangi bir ajan olmadan veri ayıklayın). Ürün şimdi syskit (veya Jim'in belirttiği gibi TSL) olarak adlandırılıyor ve tüm dünyada yaygın olarak kullanılıyor: D
Kullanıcı etkinliklerini buradan kontrol edebilirsiniz