Apakah ada log aktivitas RDP? - Windows Server 2008 R2

18

beberapa pengguna telah masuk ke server melalui RDP.

Saya ingin memantau aktivitas , tetapi tidak tahu cara saya mengitari Windows Server dengan baik.

Saya berharap ada semacam log di sekitar yang dapat saya konsultasikan.


Ada ide? :)

RadiantHex
sumber

Jawaban:

5

Beberapa pilihan ..

  1. Pencatatan jendela dasar menggunakan pengaturan kebijakan "Acara Log masuk Audit" harus memenuhi kebutuhan Anda.
  2. Anda juga dapat menggunakan Remote Desktop Gateway dan mengonfigurasi audit yang mencatat pengguna mana yang mengakses sumber daya internal mana melalui RDP. Beberapa informasi tambahan tersedia di sini .
CurtM
sumber
31
  1. Buka Peraga Peristiwa ( eventvwr.msc)
  2. Pergi ke Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. Buka AdminatauOperational

Anda akan melihat daftar sesi. Date / Timestamped / IP / UserName dll. Anda juga dapat melihat di bawahApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Andy Bichler
sumber
IP klien (Alamat Jaringan Sumber) kosong untuk saya di Windows Server 2012. Bagaimana Anda mengaktifkannya?
Sacha K
1
Saya menulis alat yang mem-parsing viewer acara untuk Anda dan menunjukkan Anda riwayat login. Anda dapat mengambil alat dari blog saya: uglyvpn.com/2015/09/25/…
KPS
KPS, Anda memasang deadlink
Steve Yakovenko
3

Inilah solusi di PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

Informasi tentang EventIds terkait yang kami filter dapat ditemukan di sini:

Untuk koneksi RDP Anda secara khusus tertarik pada LogType 10; RemoteInteractive; di sini saya belum memfilter jika jenis lain digunakan; tapi sepele untuk menambahkan filter lain jika diperlukan.

Anda juga harus memastikan log ini dibuat; untuk melakukannya:

  • Klik Start
  • Pilih Control Panel
  • Pilih Administrative Tools
  • Buka Local Security Policy
  • Arahkan Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • Mengubah Audit LogonkeSuccess
JohnLBevan
sumber
2

Selain menyisir log peristiwa, mencari Logon Type 10 (Remote Desktop) di Log Keamanan, atau melihat log peristiwa saluran TerminalServices, Anda harus menggunakan perangkat lunak pihak ketiga.

Selain TSL yang disebutkan di atas, berikut ini adalah satu lagi yang pernah saya gunakan dengan sukses - Remote Desktop Reporter

http://www.rdpsoft.com/products

Jika Anda pergi ke pihak ketiga, pastikan Anda mengevaluasi beberapa dan mendapatkan penawaran harga dari masing-masing vendor ... ada perbedaan besar dalam harga - beberapa harga vendor per pengguna yang disebutkan, beberapa per pengguna bersamaan, dan beberapa hanya dengan server. Pastikan juga bahwa solusinya dilengkapi dengan database sendiri atau versi lite dari SQL - jika tidak, Anda akan mendapatkan biaya lisensi database juga.

Jim Miller
sumber
0

Anda dapat mengatur akun pengguna apa pun dalam AD untuk kendali jarak jauh untuk melihat atau berinteraksi dengan sesi pengguna dengan membuka tab Pengguna di Pengelola Tugas, mengklik kanan dan memilih 'Kontrol Jarak Jauh'. Anda kemudian dapat melihat sesi mereka.

ITGuy007
sumber
0

Saya telah melalui sebagian besar jawaban gratis / terjangkau di halaman ini serta mencari di tempat lain (selama berhari-hari, termasuk membaca log Peristiwa yang disebutkan oleh Andy Bichler) dan inilah alat pemantauan dan pemblokiran RDP alternatif:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Saya belum mengujinya secara luas, tetapi mengunduh dan memindainya (versi portabel) dan meskipun UI agak jelek, ia bekerja pada server R2 2012 tanpa masalah sejauh ini. Ini "tangan," tetapi juga tidak punya otak dan mengalahkan menguraikan log peristiwa.

Ada juga ts_block yang memungkinkan Anda untuk secara otomatis memblokir IP yang kasar memaksa RDP server Anda (yang saya duga akan memiliki beberapa upaya RDP):

https://github.com/EvanAnderson/ts_block

Seperti yang Anda lihat di tautan itu, penulis adalah pengguna serverfault. Saya belum mengujinya karena pada dasarnya merupakan vbscript yang harus saya potong sebelum menggunakannya. Tapi, sepertinya menjanjikan.

Masalah dengan log peristiwa yang disebutkan oleh Andy di atas adalah bahwa mereka tidak begitu jelas atau deskriptif mengenai siapa yang melakukan apa ... setidaknya dalam arti jahat. Anda dapat menemukan Alamat IP, tetapi sulit untuk mengetahui apakah itu terkait dengan semua upaya login yang gagal. Jadi, alat lain selain dari log bawaan tampaknya hampir wajib jika server Anda menghadapi internet dan Anda memiliki kekhawatiran tentang keamanan.

Jumlah tidak ada
sumber
0

di log kejadian -

Aplikasi dan Layanan Log \ Microsoft \ Windows \ remote desktop services-rdpcorets

ada semua upaya untuk terhubung ke rdp dan alamat ip

imguest
sumber
Saya tidak bisa melihat apa sebenarnya awal dan akhir jalur file. Beberapa markup akan membuat jawaban ini jauh lebih mudah dibaca.
kasperd
0

Ketika saya bekerja sebagai administrator beberapa tahun yang lalu saya memiliki masalah seperti yang Anda lakukan sekarang, saya ingin memantau semua orang yang terhubung melalui RDP dan kapan tepatnya dan jika mereka aktif atau menganggur.

Saya telah mengevaluasi beberapa produk tetapi memutuskan tidak satupun dari mereka yang cukup baik untuk saya, jadi saya membangun sendiri (masalahnya adalah setiap orang memiliki semacam agen atau layanan untuk mengumpulkan data, dan solusi yang saya bangun menggunakan TS API untuk secara jarak jauh server jauh dan mengekstrak data tanpa agen apa pun). Produk ini disebut syskit (atau TSL seperti yang disebutkan Jim) dan digunakan secara luas di seluruh dunia: D

Anda dapat memeriksa aktivitas pengguna di sini

Frane Borozan
sumber