none
如何准确记录通过远程桌面连接到服务器的信息 RRS feed

  • 问题

  • 客户端通过远程桌面连接到服务器上,那么如何可以有效的记录这些远程连接的信息以便日后查看。

    windows 日志里面的【安全】是有记录,但是是登陆事件,而且这类事件特别多,根本无法很好区分哪些是通过远程桌面连接的。也尝试通过【订阅】的形式,但是不晓得如何来区分是通过远程桌面连接上来的日志,特来求教。

    • 已移动 Amy Wang_Moderator 2016年4月20日 9:47 Unrelated to Windows Server Technical Preview
    2016年4月20日 8:04

答案

  • 首先因為網絡緣故, 網站的JS代碼無法加載,所以回覆的內容可能會有些亂。
    你可以考慮在服務器上通過計畫任務來實現。因為計畫任務的觸發器中有幾個是與用戶登錄和系統鎖定相關的,你可以藉此結合批處理來實現需求,至於批處理中調用的命令可選 quser 和 netstat 來分別獲取當前通過遠程桌面登錄的用戶和機器名,以及IP,執行該任務的用戶可選 system 帳戶。此外還可以通過將觸發器與指定 event 進行關聯。

    Folding@Home

    2016年4月30日 7:08

全部回复

  • 你好,

    通过远程桌面服务来登陆的登陆类型 (logon type ) 10,请根据这个特征来区分远程登陆和其他登陆类型。

    下面有个相关的英文链接也许会有帮助:

    Audit logon events

    https://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    上文中的 logon type 也适用于 Windows Server 2003 R2 以上的操作系统。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月21日 6:10
    版主
  • 你好,可通过用户登录时启动脚本记录事项,以下文章可能会帮助到你。

    http://nkmis02.blog.51cto.com/612689/245162

    2016年4月21日 9:49
  • 多谢回复。

    但是由于登录事件众多,登录类型只是同一登录事件中的一种,如何有效可以过滤出登录类型为10的日志出来,希望能指导下。

    我尝试使用【订阅】但是发现没有可以选择登录类型的或关键字的。

    2016年4月26日 0:57
  • 多谢回复。

    但是这种方式有一个弊端,比如A登录服务器后,没有注销,然后B也用同样的用户登录,那么脚本应该是不会再次运行的。

    2016年4月26日 0:58
  • 但是由于登录事件众多,登录类型只是同一登录事件中的一种,如何有效可以过滤出登录类型为10的日志出来,希望能指导下。

    我尝试使用【订阅】但是发现没有可以选择登录类型的或关键字的。

    你好,

    我们需要通过 Customer Views with XML filtering或者编写脚本来做到基于Logon type 筛选events.

    下面有两个英文的链接可能会有所帮助:

    Advanced XML filtering in the Windows Event Viewer

    https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

    Using PowerShell to filter security logs by logon type

    https://social.technet.microsoft.com/Forums/en-US/5d240e70-d283-473f-b5f3-3fa71244a609/using-powershell-to-filter-security-logs-by-logon-type

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 ほし 2016年4月26日 5:50
    • 取消答案标记 ほし 2016年4月26日 5:57
    • 已建议为答案 Amy Wang_Moderator 2016年4月26日 7:14
    2016年4月26日 3:06
    版主
  • 多谢,通过手动编辑XML订阅可以实现查询了。

    另外还想请教一下,由于日志里面只记录了登录IP,但是没有Clinet名称,日志是否有别的地方有记录?

    • 已编辑 ほし 2016年4月26日 5:58
    2016年4月26日 5:52
  • 另外还想请教一下,由于日志里面只记录了登录IP,但是没有Clinet名称,日志是否有别的地方有记录?

    你好,

    我们还可以检查这个路径下的事件:

    Event Viewer -> Applications and Services Logs\ Microsoft\ Windows\ TerminalServices-LocalSessionManager \Operational

    但是,针对远程桌面连接,也只有 IP 地址会被记录

    我们需要通过别的方式来获取client 的机器名,比如说在DNS server上创建Reverse Lookup Zone;另外有些设备是不能解析到机器名称的,比如用户有可能通过各种移动设备来发起远程连接。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月26日 7:14
    版主
  • 多谢,如果目标服务器上没有安装DNS服务器角色的话是不是就不无法获取了?

    但是无论是用移动设备或者PC设备远程登录的话,在【任务管理器】里面的【用户】实际是有Client名称,只是不知道那里会有被记录下来。

    2016年4月26日 8:43
  • 多谢,如果目标服务器上没有安装DNS服务器角色的话是不是就不无法获取了?

    但是无论是用移动设备或者PC设备远程登录的话,在【任务管理器】里面的【用户】实际是有Client名称,只是不知道那里会有被记录下来。

    你好,

    如果没有DNS server,就需要通过比较麻烦的方法去得到与IP地址相对应的机器名了。

    比如说可以先通过IP地址得到机器的MAC地址 (ARP -a),然后再通过MAC地址得到机器名。

    根据我的个人经验,任务管理器里面并不会记录机器名。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月27日 8:19
    版主
  • 但是如果要查找近几天登录过的记录,通过MAC的方式也不行吧?

    我的远程桌面连接的时候,【任务管理器】里面的【用户】有客户端名称,也就是系统其实已经得到客户端名称,但是这个名称会在那里记录下来吗?比如某个日志?

    2016年4月29日 8:43
  • 首先因為網絡緣故, 網站的JS代碼無法加載,所以回覆的內容可能會有些亂。
    你可以考慮在服務器上通過計畫任務來實現。因為計畫任務的觸發器中有幾個是與用戶登錄和系統鎖定相關的,你可以藉此結合批處理來實現需求,至於批處理中調用的命令可選 quser 和 netstat 來分別獲取當前通過遠程桌面登錄的用戶和機器名,以及IP,執行該任務的用戶可選 system 帳戶。此外還可以通過將觸發器與指定 event 進行關聯。

    Folding@Home

    2016年4月30日 7:08