Есть ли какие-либо журналы операций RDP? - Windows Server 2008 R2

Вы можете настроить любую учетную запись пользователя в AD для удаленного управления для просмотра сеанса пользователя или взаимодействия с ним, перейдя на вкладку «Пользователи» в диспетчере задач, щелкнув правой кнопкой мыши и выбрав «Удаленное управление». Затем вы можете просмотреть их сеанс.

1. Открыть средство просмотра событий ( eventvwr.msc )
2. Перейдите в Журналы приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager
3. Откройте Admin или Рабочий

Вы увидите список сеансов. Дата / время / IP / имя пользователя и т. Д. Вы также можете посмотреть в разделе Журналы приложений и служб \ Microsoft \ Windows \ TerminalServices-RemoteConnectionManager

Помимо прочесывания журналов событий, поиска типа входа 10 (Remote Desktop) в журнале безопасности или просмотра журналов событий канала TerminalServices, необходимо использовать программное обеспечение сторонних производителей.

В дополнение к TSL, упомянутому выше, вот еще один, который я с успехом использовал в прошлом - Remote Desktop Reporter

http://www. rdpsoft.com/products

Если вы обращаетесь к сторонним разработчикам, то обязательно оцените несколько и получите ценовые котировки от каждого поставщика... есть огромное расхождение в цене - цена некоторых поставщиков на одного поименованного пользователя, некоторых на одного параллельного пользователя, а некоторых просто по серверу. Убедитесь также, что решение поставляется с собственной базой данных или lite версией SQL - в противном случае вы также получите удар по стоимости лицензии на БД

PowerShell дээрх шийдэл энд байна:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

Бидний шүүлт хийж байгаа холбогдох EventIds-ийн мэдээллийг эндээс олж болно:

• Амжилттай нэвтрэх: https: //www.ultimatewindowssecurity .com / securitylog / encyclopedia / event.aspx? eventID = 4624
• Дахин холбогдсон хуралдаан: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4778

RDP холболтуудын хувьд та LogType 10 програмыг онцгой сонирхдог; RemoteInteractive; Энд бусад төрлүүд ашиглагдах тохиолдолд би шүүлтүүр хийгээгүй; гэхдээ шаардлагатай бол өөр шүүлтүүр нэмж оруулах нь өчүүхэн зүйл юм.

Та эдгээр бүртгэлийг үүсгэх шаардлагатай болно; хийхийн тулд:

• Эхлүүлэх
• Сонгох Хяналтын самбар
• Сонгох Захиргааны хэрэгсэл
• Нээх Орон нутгийн аюулгүй байдлын бодлого
• Жолоодох Аюулгүй байдлын тохиргоо > Аудитын бодлогын нарийвчилсан тохиргоо > Системийн аудитын бодлогууд -Орон нутгийн бүлгийн бодлогын объект > Logon / Logoff
• Нэмэлт Audit Logon to Амжилт

Я просмотрел большинство бесплатных / доступных ответов на этой странице, а также искал где-то еще (в течение нескольких дней, включая чтение журналов событий, упомянутых Энди Бихлером), и вот альтернативный бесплатный RDP инструмент мониторинга и блокировки:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Я не тестировал его всесторонне, но скачал и просканировал его (портативная версия), и хотя пользовательский интерфейс немного уродлив, он пока работает на сервере 2012 R2 без проблем. Это "практическое занятие", но также несложно и лучше, чем дешифрование журналов событий.

Существует также ts_block, который позволяет автоматически блокировать IP-адреса, которые грубо форсируют RDP вашего сервера (что, как я предполагаю, будет иметь некоторые журнал попыток RDP):

https://github.com/EvanAnderson/ts_block

Как вы можете видеть по этой ссылке, автор является пользователем serverfault. Я не тестировал его, так как это в основном vbscript, который мне нужно было бы проанализировать перед использованием. Но это кажется многообещающим.

Проблема с журналами событий, упомянутыми выше Энди, заключается в том, что они не очень ясны или описывают, кто что делает ... по крайней мере, в злонамеренном смысле. Вы можете найти IP-адреса, но тогда трудно сказать, связаны ли они со всеми неудачными попытками входа в систему. Итак, другой инструмент, отличный от встроенных журналов, кажется почти обязательным, если ваш сервер подключен к Интернету и у вас есть какие-либо опасения по поводу безопасности.

в журнале событий -

Журналы приложений и служб \ Microsoft \ Windows \ remote desktop services-rdpcorets

есть все попытки подключиться к rdp и IP-адресу

Когда я работал администратором несколько лет назад, у меня была проблема, как и у вас сейчас, я хотел следить за всеми, кто подключается через RDP, и точно знать, когда и если они активны или простаивают.

Я оценил несколько продуктов, но решил, что ни один из них не достаточно хорош для меня, поэтому я создал свой собственный (проблема заключалась в том, что у каждого из них был какой-то агент или служба для сбора данных, а решение, которое я создал, заключалось в использовании TS API для удаленного доступа к удаленному серверу и извлечения данных без агента). Сейчас продукт называется syskit (или TSL, как упоминал Джим) и широко используется по всему миру :D

Вы можете проверить действия пользователя здесь

Запустите это в Powershell:

Get-WinEvent -ProviderName OpenSSH | Export-Csv -Path 'C:\Users\Windows10\Desktop\SSHLogs.csv' -NoTypeInformation

Ваш файл журнала SSH в формате CSV готов!