beberapa pengguna telah masuk ke server melalui RDP.
Saya ingin memantau aktivitas , tetapi tidak tahu cara saya mengitari Windows Server dengan baik.
Saya berharap ada semacam log di sekitar yang dapat saya konsultasikan.
Ada ide? :)
beberapa pengguna telah masuk ke server melalui RDP.
Saya ingin memantau aktivitas , tetapi tidak tahu cara saya mengitari Windows Server dengan baik.
Saya berharap ada semacam log di sekitar yang dapat saya konsultasikan.
Ada ide? :)
Jawaban:
Beberapa pilihan ..
eventvwr.msc
)Applications and Services Logs
-> Microsoft
-> Windows
->TerminalServices-LocalSessionManager
Admin
atauOperational
Anda akan melihat daftar sesi. Date / Timestamped / IP / UserName dll. Anda juga dapat melihat di bawahApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Inilah solusi di PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Informasi tentang EventIds terkait yang kami filter dapat ditemukan di sini:
Untuk koneksi RDP Anda secara khusus tertarik pada LogType 10; RemoteInteractive; di sini saya belum memfilter jika jenis lain digunakan; tapi sepele untuk menambahkan filter lain jika diperlukan.
Anda juga harus memastikan log ini dibuat; untuk melakukannya:
Start
Control Panel
Administrative Tools
Local Security Policy
Security Settings
> Advanced Audit Policy Configuration
> System Audit Policies - Local Group Policy Object
>Logon/Logoff
Audit Logon
keSuccess
Selain menyisir log peristiwa, mencari Logon Type 10 (Remote Desktop) di Log Keamanan, atau melihat log peristiwa saluran TerminalServices, Anda harus menggunakan perangkat lunak pihak ketiga.
Selain TSL yang disebutkan di atas, berikut ini adalah satu lagi yang pernah saya gunakan dengan sukses - Remote Desktop Reporter
http://www.rdpsoft.com/products
Jika Anda pergi ke pihak ketiga, pastikan Anda mengevaluasi beberapa dan mendapatkan penawaran harga dari masing-masing vendor ... ada perbedaan besar dalam harga - beberapa harga vendor per pengguna yang disebutkan, beberapa per pengguna bersamaan, dan beberapa hanya dengan server. Pastikan juga bahwa solusinya dilengkapi dengan database sendiri atau versi lite dari SQL - jika tidak, Anda akan mendapatkan biaya lisensi database juga.
Saya telah melalui sebagian besar jawaban gratis / terjangkau di halaman ini serta mencari di tempat lain (selama berhari-hari, termasuk membaca log Peristiwa yang disebutkan oleh Andy Bichler) dan inilah alat pemantauan dan pemblokiran RDP alternatif:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Saya belum mengujinya secara luas, tetapi mengunduh dan memindainya (versi portabel) dan meskipun UI agak jelek, ia bekerja pada server R2 2012 tanpa masalah sejauh ini. Ini "tangan," tetapi juga tidak punya otak dan mengalahkan menguraikan log peristiwa.
Ada juga ts_block yang memungkinkan Anda untuk secara otomatis memblokir IP yang kasar memaksa RDP server Anda (yang saya duga akan memiliki beberapa upaya RDP):
https://github.com/EvanAnderson/ts_block
Seperti yang Anda lihat di tautan itu, penulis adalah pengguna serverfault. Saya belum mengujinya karena pada dasarnya merupakan vbscript yang harus saya potong sebelum menggunakannya. Tapi, sepertinya menjanjikan.
Masalah dengan log peristiwa yang disebutkan oleh Andy di atas adalah bahwa mereka tidak begitu jelas atau deskriptif mengenai siapa yang melakukan apa ... setidaknya dalam arti jahat. Anda dapat menemukan Alamat IP, tetapi sulit untuk mengetahui apakah itu terkait dengan semua upaya login yang gagal. Jadi, alat lain selain dari log bawaan tampaknya hampir wajib jika server Anda menghadapi internet dan Anda memiliki kekhawatiran tentang keamanan.
di log kejadian -
Aplikasi dan Layanan Log \ Microsoft \ Windows \ remote desktop services-rdpcorets
ada semua upaya untuk terhubung ke rdp dan alamat ip
Ketika saya bekerja sebagai administrator beberapa tahun yang lalu saya memiliki masalah seperti yang Anda lakukan sekarang, saya ingin memantau semua orang yang terhubung melalui RDP dan kapan tepatnya dan jika mereka aktif atau menganggur.
Saya telah mengevaluasi beberapa produk tetapi memutuskan tidak satupun dari mereka yang cukup baik untuk saya, jadi saya membangun sendiri (masalahnya adalah setiap orang memiliki semacam agen atau layanan untuk mengumpulkan data, dan solusi yang saya bangun menggunakan TS API untuk secara jarak jauh server jauh dan mengekstrak data tanpa agen apa pun). Produk ini disebut syskit (atau TSL seperti yang disebutkan Jim) dan digunakan secara luas di seluruh dunia: D
Anda dapat memeriksa aktivitas pengguna di sini