Есть ли журналы активности RDP? - Windows Server 2008 R2

18

несколько пользователей вошли на сервер через RDP.

Я бы хотел следить за активностью , но не очень хорошо разбираюсь в Windows Server.

Я надеюсь, что есть журналы, с которыми я могу ознакомиться.

Есть идеи? :)

windows security logging windows-server-2008 remote-desktop RadiantHex
источник

Ответы:

5

Несколько вариантов ..

  1. Базовое ведение журнала Windows с использованием параметра политики «Аудит событий входа в систему» ​​должно соответствовать вашим потребностям.
  2. Вы также можете использовать шлюз удаленных рабочих столов и настроить аудит, который регистрирует, какие пользователи получают доступ к каким внутренним ресурсам через RDP. Некоторая дополнительная информация доступна здесь .
CurtM
источник
31
  1. Открыть Просмотр событий ( eventvwr.msc)
  2. Перейти к Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. Открыть AdminилиOperational

Вы увидите список сессий. Дата / Метка времени / IP / Имя пользователя и т. Д. Вы также можете посмотреть в разделеApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Энди Бихлер
источник
IP-адрес клиента (исходный сетевой адрес) для меня не указан в Windows Server 2012. Как его включить?
Саша К
1
Я написал инструмент, который анализирует программу просмотра событий для вас и показывает историю входов в систему. Вы можете взять инструмент из моего блога: uglyvpn.com/2015/09/25/…
KPS
KPS, вы разместили ссылку
Стив Яковенко,
3

Вот решение в PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}}

Информация о связанных EventIds, по которым мы фильтруем, может быть найдена здесь:

Для RDP-соединений вас особенно интересует LogType 10; RemoteInteractive; здесь я не фильтровал на случай, если другие типы будут полезны; но тривиально добавить другой фильтр, если требуется.

Вам также необходимо убедиться, что эти журналы созданы; сделать это:

  • щелчок Start
  • Выбрать Control Panel
  • Выбрать Administrative Tools
  • открыто Local Security Policy
  • Navigate Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • Изменить Audit LogonнаSuccess
JohnLBevan
источник
2

Помимо просмотра журналов событий, поиска типа входа в систему 10 (удаленный рабочий стол) в журнале безопасности или просмотра журналов событий канала TerminalServices вам потребуется использовать стороннее программное обеспечение.

В дополнение к TSL, упомянутому выше, есть еще один, который я успешно использовал в прошлом - Remote Desktop Reporter

http://www.rdpsoft.com/products

Если вы обращаетесь к третьей стороне, убедитесь, что вы оценили несколько и получите ценовые расценки от каждого поставщика ... существует огромное расхождение в цене - некоторые поставщики устанавливают цену на одного названного пользователя, некоторые на одновременного пользователя, а некоторые просто на сервере. Также убедитесь, что решение поставляется с собственной базой данных или облегченной версией SQL - в противном случае вы также столкнетесь с расходами на лицензии базы данных.

Джим миллер
источник
0

Вы можете настроить любую учетную запись пользователя в AD для удаленного управления, чтобы просматривать сеанс пользователя или взаимодействовать с ним, перейдя на вкладку «Пользователи» в диспетчере задач, щелкнув правой кнопкой мыши и выбрав «Удаленное управление». Затем вы можете просмотреть их сеанс.

ITGuy007
источник
0

Я ознакомился с большинством бесплатных / доступных ответов на этой странице, а также провел поиск в других местах (в течение нескольких дней, включая чтение журналов событий, упомянутых Энди Бихлером) и вот альтернативный бесплатный инструмент мониторинга и блокировки RDP:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Я не тестировал его всесторонне, но скачал и отсканировал (портативная версия), и хотя пользовательский интерфейс немного уродлив, он до сих пор работает на сервере 2012 R2 без проблем. Это "руки на руку", но и ежу понятно, и лучше, чем расшифровка журналов событий.

Существует также ts_block, который позволяет вам автоматически блокировать IP-адреса, которые грубо форсируют RDP вашего сервера (который, я предполагаю, будет иметь некоторый журнал попыток RDP):

https://github.com/EvanAnderson/ts_block

Как вы можете видеть по этой ссылке, автор является пользователем сервера. Я не проверял это, поскольку это в основном VBScript, который мне нужно было бы проанализировать перед использованием. Но это кажется многообещающим.

Проблема с журналами событий, упомянутыми Энди выше, состоит в том, что они не очень понятны или описывают, кто что делает ... по крайней мере, в злонамеренном смысле. Вы можете найти IP-адреса, но тогда трудно сказать, связаны ли они со всеми неудачными попытками входа в систему. Таким образом, другой инструмент, отличный от встроенных журналов, кажется почти обязательным, если ваш сервер подключен к Интернету и у вас есть какие-либо сомнения по поводу безопасности.

Сумма Нет
источник
0

в журнале событий -

Журналы приложений и служб \ Microsoft \ Windows \ службы удаленных рабочих столов-rdpcorets

есть все попытки подключиться к rdp и ip адресу

imguest
источник
Я не вижу, что именно является началом и концом пути к файлу. Некоторая разметка сделает этот ответ более читабельным.
kasperd
0

Когда я работал администратором несколько лет назад, у меня была такая же проблема, как и у вас, я хотел контролировать всех, кто подключается через RDP, и точно, когда и если они были активны или свободны.

Я оценил несколько продуктов, но решил, что ни один из них не подходит для меня, поэтому я создал свой собственный (проблема заключалась в том, что у каждого был какой-то агент или служба для сбора данных, а решение, которое я создал, заключается в использовании TS API для удаленного доступа к удаленный сервер и извлечение данных без какого-либо агента). Продукт теперь называется syskit (или TSL, как упоминал Джим), и он широко используется во всем мире: D

Вы можете проверить активность пользователей здесь

Фрэн Борозан
источник