Como posso obter o endereço IP de um cliente de desktop remoto? E como posso acionar um comando shell no RDP connect?

Tudo bem, descobri que o aplicativo task scheduler que vem com o windows é configurável para onde posso executar um script em lote, acionado quando um evento no log de eventos é gerado. Por meio da interface do usuário, você escolhe o tipo de evento, a origem do evento e a identificação do evento. Nesse caso, usei o 4264 (e sim, todos os tipos de logon são capturados). Aqui eu usei um script em lotes simples:

SET logfile="rdp_ip_logs.log"
date /T>>%logfile%
time /T>>%logfile%
netstat -n | find ":3389" | find "ESTABLISHED">>%logfile%

Também encontrei um exemplo super útil de como assinar / ouvir gravações de eventos no .NET: link Eu vou acabar usando isso para escrever certos eventos para um banco de dados para exame baseado na web.

A única desvantagem desta solução é que, se você tiver os Serviços de Área de Trabalho Remota habilitados e várias pessoas estiverem conectadas, não será possível diferenciá-las na saída do netstat.

Em um prompt de comando, você pode executar o seguinte comando para obter uma lista dos IPs remotos conectados ao RDP (porta 3389).

netstat -n | find ":3389" | find "ESTABLISHED"

Tenho certeza de que isso pode ser roteirizado em powershell (ou mesmo apenas em um arquivo de lote antigo). Eu posso dar um exemplo amanhã se você estiver interessado.

Se você não precisar fazer o script, poderá procurar no log de eventos de segurança a ID do evento 4624. Haverá uma linha:

Endereço de rede de origem: 192.168.xxx.xxx