积极答复者
如何准确记录通过远程桌面连接到服务器的信息

问题
-
客户端通过远程桌面连接到服务器上,那么如何可以有效的记录这些远程连接的信息以便日后查看。
windows 日志里面的【安全】是有记录,但是是登陆事件,而且这类事件特别多,根本无法很好区分哪些是通过远程桌面连接的。也尝试通过【订阅】的形式,但是不晓得如何来区分是通过远程桌面连接上来的日志,特来求教。
- 已移动 Amy Wang_Moderator 2016年4月20日 9:47 Unrelated to Windows Server Technical Preview
答案
-
首先因為網絡緣故, 網站的JS代碼無法加載,所以回覆的內容可能會有些亂。
你可以考慮在服務器上通過計畫任務來實現。因為計畫任務的觸發器中有幾個是與用戶登錄和系統鎖定相關的,你可以藉此結合批處理來實現需求,至於批處理中調用的命令可選 quser 和 netstat 來分別獲取當前通過遠程桌面登錄的用戶和機器名,以及IP,執行該任務的用戶可選 system 帳戶。此外還可以通過將觸發器與指定 event 進行關聯。Folding@Home
- 已建议为答案 Amy Wang_Moderator 2016年5月3日 3:12
- 已标记为答案 Amy Wang_Moderator 2016年5月5日 6:03
全部回复
-
你好,
通过远程桌面服务来登陆的登陆类型 (logon type ) 为10,请根据这个特征来区分远程登陆和其他登陆类型。
下面有个相关的英文链接也许会有帮助:
Audit logon events
https://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
上文中的 logon type 也适用于 Windows Server 2003 R2 以上的操作系统。
Best Regards,
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Amy Wang_Moderator 2016年4月21日 6:11
-
但是由于登录事件众多,登录类型只是同一登录事件中的一种,如何有效可以过滤出登录类型为10的日志出来,希望能指导下。
我尝试使用【订阅】但是发现没有可以选择登录类型的或关键字的。
你好,
我们需要通过 Customer Views with XML filtering或者编写脚本来做到基于Logon type 筛选events.
下面有两个英文的链接可能会有所帮助:
Advanced XML filtering in the Windows Event Viewer
Using PowerShell to filter security logs by logon type
Best Regards,
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案 ほし 2016年4月26日 5:50
- 取消答案标记 ほし 2016年4月26日 5:57
- 已建议为答案 Amy Wang_Moderator 2016年4月26日 7:14
-
另外还想请教一下,由于日志里面只记录了登录IP,但是没有Clinet名称,日志是否有别的地方有记录?
你好,
我们还可以检查这个路径下的事件:
Event Viewer -> Applications and Services Logs\ Microsoft\ Windows\ TerminalServices-LocalSessionManager \Operational
但是,针对远程桌面连接,也只有 IP 地址会被记录 。
我们需要通过别的方式来获取client 的机器名,比如说在DNS server上创建Reverse Lookup Zone;另外有些设备是不能解析到机器名称的,比如用户有可能通过各种移动设备来发起远程连接。
Best Regards,
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Amy Wang_Moderator 2016年4月26日 7:15
-
多谢,如果目标服务器上没有安装DNS服务器角色的话是不是就不无法获取了?
但是无论是用移动设备或者PC设备远程登录的话,在【任务管理器】里面的【用户】实际是有Client名称,只是不知道那里会有被记录下来。
你好,
如果没有DNS server,就需要通过比较麻烦的方法去得到与IP地址相对应的机器名了。
比如说可以先通过IP地址得到机器的MAC地址 (ARP -a),然后再通过MAC地址得到机器名。
根据我的个人经验,任务管理器里面并不会记录机器名。
Best Regards,
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
-
首先因為網絡緣故, 網站的JS代碼無法加載,所以回覆的內容可能會有些亂。
你可以考慮在服務器上通過計畫任務來實現。因為計畫任務的觸發器中有幾個是與用戶登錄和系統鎖定相關的,你可以藉此結合批處理來實現需求,至於批處理中調用的命令可選 quser 和 netstat 來分別獲取當前通過遠程桌面登錄的用戶和機器名,以及IP,執行該任務的用戶可選 system 帳戶。此外還可以通過將觸發器與指定 event 進行關聯。Folding@Home
- 已建议为答案 Amy Wang_Moderator 2016年5月3日 3:12
- 已标记为答案 Amy Wang_Moderator 2016年5月5日 6:03