如何准确记录通过远程桌面连接到服务器的信息

全部回复

• 

  

  0

  登录进行投票

  你好，

  通过远程桌面服务来登陆的登陆类型 (logon type ) 为10，请根据这个特征来区分远程登陆和其他登陆类型。

  下面有个相关的英文链接也许会有帮助：

  Audit logon events

  https://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

  上文中的 logon type 也适用于 Windows Server 2003 R2 以上的操作系统。

  Best Regards,

  Amy

  ---

  Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  • 已编辑 Amy Wang_Moderator 2016年4月21日 6:11

  2016年4月21日 6:10

  回复

  |

  引用

  版主
• 

  

  1

  登录进行投票

  你好，可通过用户登录时启动脚本记录事项，以下文章可能会帮助到你。

  http://nkmis02.blog.51cto.com/612689/245162

  2016年4月21日 9:49

  回复

  |

  引用
• 

  

  0

  登录进行投票

  多谢回复。

  但是由于登录事件众多，登录类型只是同一登录事件中的一种，如何有效可以过滤出登录类型为10的日志出来，希望能指导下。

  我尝试使用【订阅】但是发现没有可以选择登录类型的或关键字的。

  2016年4月26日 0:57

  回复

  |

  引用
• 

  

  0

  登录进行投票

  多谢回复。

  但是这种方式有一个弊端，比如A登录服务器后，没有注销，然后B也用同样的用户登录，那么脚本应该是不会再次运行的。

  2016年4月26日 0:58

  回复

  |

  引用
• 

  

  0

  登录进行投票

  但是由于登录事件众多，登录类型只是同一登录事件中的一种，如何有效可以过滤出登录类型为10的日志出来，希望能指导下。

  我尝试使用【订阅】但是发现没有可以选择登录类型的或关键字的。

  你好，

  我们需要通过 Customer Views with XML filtering或者编写脚本来做到基于Logon type 筛选events.

  下面有两个英文的链接可能会有所帮助：

  Advanced XML filtering in the Windows Event Viewer

  https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

  Using PowerShell to filter security logs by logon type

  https://social.technet.microsoft.com/Forums/en-US/5d240e70-d283-473f-b5f3-3fa71244a609/using-powershell-to-filter-security-logs-by-logon-type

  Best Regards,

  Amy

  ---

  Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  • 已标记为答案 ほし 2016年4月26日 5:50
  • 取消答案标记 ほし 2016年4月26日 5:57
  • 已建议为答案 Amy Wang_Moderator 2016年4月26日 7:14

  2016年4月26日 3:06

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  多谢，通过手动编辑XML订阅可以实现查询了。

  另外还想请教一下，由于日志里面只记录了登录IP，但是没有Clinet名称，日志是否有别的地方有记录？

  • 已编辑 ほし 2016年4月26日 5:58

  2016年4月26日 5:52

  回复

  |

  引用
• 

  

  0

  登录进行投票

  另外还想请教一下，由于日志里面只记录了登录IP，但是没有Clinet名称，日志是否有别的地方有记录？

  你好，

  我们还可以检查这个路径下的事件:

  Event Viewer -> Applications and Services Logs\ Microsoft\ Windows\ TerminalServices-LocalSessionManager \Operational

  但是，针对远程桌面连接，也只有 IP 地址会被记录 。

  我们需要通过别的方式来获取client 的机器名，比如说在DNS server上创建Reverse Lookup Zone；另外有些设备是不能解析到机器名称的，比如用户有可能通过各种移动设备来发起远程连接。

  Best Regards,

  Amy

  ---

  Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  • 已编辑 Amy Wang_Moderator 2016年4月26日 7:15

  2016年4月26日 7:14

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  多谢，如果目标服务器上没有安装DNS服务器角色的话是不是就不无法获取了？

  但是无论是用移动设备或者PC设备远程登录的话，在【任务管理器】里面的【用户】实际是有Client名称，只是不知道那里会有被记录下来。

  2016年4月26日 8:43

  回复

  |

  引用
• 

  

  0

  登录进行投票

  多谢，如果目标服务器上没有安装DNS服务器角色的话是不是就不无法获取了？

  但是无论是用移动设备或者PC设备远程登录的话，在【任务管理器】里面的【用户】实际是有Client名称，只是不知道那里会有被记录下来。

  你好，

  如果没有DNS server，就需要通过比较麻烦的方法去得到与IP地址相对应的机器名了。

  比如说可以先通过IP地址得到机器的MAC地址 (ARP -a)，然后再通过MAC地址得到机器名。

  根据我的个人经验，任务管理器里面并不会记录机器名。

  Best Regards,

  Amy

  ---

  Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2016年4月27日 8:19

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  但是如果要查找近几天登录过的记录，通过MAC的方式也不行吧？

  我的远程桌面连接的时候，【任务管理器】里面的【用户】有客户端名称，也就是系统其实已经得到客户端名称，但是这个名称会在那里记录下来吗？比如某个日志？

  2016年4月29日 8:43

  回复

  |

  引用
• 

  

  0

  登录进行投票

  首先因為網絡緣故, 網站的JS代碼無法加載，所以回覆的內容可能會有些亂。
  你可以考慮在服務器上通過計畫任務來實現。因為計畫任務的觸發器中有幾個是與用戶登錄和系統鎖定相關的，你可以藉此結合批處理來實現需求，至於批處理中調用的命令可選 quser 和 netstat 來分別獲取當前通過遠程桌面登錄的用戶和機器名，以及IP，執行該任務的用戶可選 system 帳戶。此外還可以通過將觸發器與指定 event 進行關聯。

  ---

  Folding@Home

  • 已建议为答案 Amy Wang_Moderator 2016年5月3日 3:12
  • 已标记为答案 Amy Wang_Moderator 2016年5月5日 6:03

  2016年4月30日 7:08

  回复

  |

  引用