有任何 RDP 活动日志吗? - Windows Server 2008 R2

tag-icon tag-icon windows security logging windows-server-2008 remote-desktop
有任何 RDP 活动日志吗? - Windows Server 2008 R2

一些用户已通过 RDP 登录服务器。

我想监控活动但是对 Windows Server 不太了解。

我希望周围有某种类型的日志可以供我参考。

有任何想法吗? :)

答案1

一些选择..

  1. 使用策略设置“审核登录事件”的基本 Windows 日志记录应该可以满足您的需求。
  2. 您还可以使用远程桌面网关并配置审核,以记录哪些用户通过 RDP 访问哪些内部资源。 还有一些其他信息可供参考这里

答案2

  1. 打开事件查看器(eventvwr.msc
  2. 转至Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. 打开AdminOperational

您将看到会话列表。日期/时间戳/IP/用户名等。您还可以查看Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

答案3

以下是 PowerShell 中的解决方案:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}}

我们正在过滤的相关 EventIds 的信息可以在这里找到:

对于 RDP 连接,您特别感兴趣的是 LogType 10;RemoteInteractive;这里我没有过滤其他类型是否有用;但如果需要,添加另一个过滤器很简单。

您还需要确保创建这些日志;为此:

  • 点击Start
  • 选择Control Panel
  • 选择Administrative Tools
  • 打开Local Security Policy
  • 导航Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • 修改Audit LogonSuccess

答案4

您可以在 AD 中设置任何用户帐户进行远程控制,以查看或与用户会话交互,方法是转到任务管理器中的“用户”选项卡,右键单击并选择“远程控制”。然后,您可以查看他们的会话。

相关内容