несколько пользователей вошли на сервер через RDP.
Я бы хотел следить за активностью , но не очень хорошо разбираюсь в Windows Server.
Я надеюсь, что есть журналы, с которыми я могу ознакомиться.
Есть идеи? :)
несколько пользователей вошли на сервер через RDP.
Я бы хотел следить за активностью , но не очень хорошо разбираюсь в Windows Server.
Я надеюсь, что есть журналы, с которыми я могу ознакомиться.
Есть идеи? :)
Ответы:
Несколько вариантов ..
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminилиOperationalВы увидите список сессий. Дата / Метка времени / IP / Имя пользователя и т. Д. Вы также можете посмотреть в разделеApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Вот решение в PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Информация о связанных EventIds, по которым мы фильтруем, может быть найдена здесь:
Для RDP-соединений вас особенно интересует LogType 10; RemoteInteractive; здесь я не фильтровал на случай, если другие типы будут полезны; но тривиально добавить другой фильтр, если требуется.
Вам также необходимо убедиться, что эти журналы созданы; сделать это:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogonнаSuccessПомимо просмотра журналов событий, поиска типа входа в систему 10 (удаленный рабочий стол) в журнале безопасности или просмотра журналов событий канала TerminalServices вам потребуется использовать стороннее программное обеспечение.
В дополнение к TSL, упомянутому выше, есть еще один, который я успешно использовал в прошлом - Remote Desktop Reporter
http://www.rdpsoft.com/products
Если вы обращаетесь к третьей стороне, убедитесь, что вы оценили несколько и получите ценовые расценки от каждого поставщика ... существует огромное расхождение в цене - некоторые поставщики устанавливают цену на одного названного пользователя, некоторые на одновременного пользователя, а некоторые просто на сервере. Также убедитесь, что решение поставляется с собственной базой данных или облегченной версией SQL - в противном случае вы также столкнетесь с расходами на лицензии базы данных.
Вы можете настроить любую учетную запись пользователя в AD для удаленного управления, чтобы просматривать сеанс пользователя или взаимодействовать с ним, перейдя на вкладку «Пользователи» в диспетчере задач, щелкнув правой кнопкой мыши и выбрав «Удаленное управление». Затем вы можете просмотреть их сеанс.
Я ознакомился с большинством бесплатных / доступных ответов на этой странице, а также провел поиск в других местах (в течение нескольких дней, включая чтение журналов событий, упомянутых Энди Бихлером) и вот альтернативный бесплатный инструмент мониторинга и блокировки RDP:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Я не тестировал его всесторонне, но скачал и отсканировал (портативная версия), и хотя пользовательский интерфейс немного уродлив, он до сих пор работает на сервере 2012 R2 без проблем. Это "руки на руку", но и ежу понятно, и лучше, чем расшифровка журналов событий.
Существует также ts_block, который позволяет вам автоматически блокировать IP-адреса, которые грубо форсируют RDP вашего сервера (который, я предполагаю, будет иметь некоторый журнал попыток RDP):
https://github.com/EvanAnderson/ts_block
Как вы можете видеть по этой ссылке, автор является пользователем сервера. Я не проверял это, поскольку это в основном VBScript, который мне нужно было бы проанализировать перед использованием. Но это кажется многообещающим.
Проблема с журналами событий, упомянутыми Энди выше, состоит в том, что они не очень понятны или описывают, кто что делает ... по крайней мере, в злонамеренном смысле. Вы можете найти IP-адреса, но тогда трудно сказать, связаны ли они со всеми неудачными попытками входа в систему. Таким образом, другой инструмент, отличный от встроенных журналов, кажется почти обязательным, если ваш сервер подключен к Интернету и у вас есть какие-либо сомнения по поводу безопасности.
в журнале событий -
Журналы приложений и служб \ Microsoft \ Windows \ службы удаленных рабочих столов-rdpcorets
есть все попытки подключиться к rdp и ip адресу
Когда я работал администратором несколько лет назад, у меня была такая же проблема, как и у вас, я хотел контролировать всех, кто подключается через RDP, и точно, когда и если они были активны или свободны.
Я оценил несколько продуктов, но решил, что ни один из них не подходит для меня, поэтому я создал свой собственный (проблема заключалась в том, что у каждого был какой-то агент или служба для сбора данных, а решение, которое я создал, заключается в использовании TS API для удаленного доступа к удаленный сервер и извлечение данных без какого-либо агента). Продукт теперь называется syskit (или TSL, как упоминал Джим), и он широко используется во всем мире: D
Вы можете проверить активность пользователей здесь