alguns usuários efetuaram login em um servidor por meio do RDP.
Gostaria de monitorar a atividade , mas não conheço bem o caminho do Windows Server.
Espero que existam registros de algum tipo que eu possa consultar.
Alguma ideia? :)
Algumas opções ..
eventvwr.msc ) Applications and Services Logs - > Microsoft - > Windows - > %código%
TerminalServices-LocalSessionManager ou Admin
Você verá a lista de sessões. Data / Timestamped / IP / UserName etc. Você também pode procurar em Operational
Além de vasculhar os logs de eventos, procurar Logon Type 10 (Remote Desktop) no log de segurança ou examinar os logs de eventos do canal TerminalServices, você precisará usar software de terceiros.
Além do TSL mencionado acima, aqui está um outro que usei com sucesso no passado - Remote Desktop Reporter
Se você terceirizar, certifique-se de avaliar vários e obter cotações de preços de cada fornecedor ... há uma enorme discrepância no preço - alguns preços de fornecedores por usuário nomeado, alguns por usuário simultâneo e alguns simplesmente por servidor. Certifique-se também de que a solução vem com seu próprio banco de dados ou com uma versão básica do SQL - caso contrário, você também será atingido com os custos de licença do banco de dados.
Aqui está uma solução no PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP '
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} '
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Informações sobre os EventIds relacionados que estamos filtrando podem ser encontradas aqui:
Para conexões RDP, você está especificamente interessado no LogType 10; RemoteInteractive; aqui eu não filtrou caso os outros tipos sejam úteis; mas é trivial adicionar outro filtro, se necessário.
Você também precisará garantir que esses registros sejam criados; para fazer isso:
Start Control Panel
Administrative Tools
Local Security Policy
Security Settings > Advanced Audit Policy Configuration > System Audit Policies - Local Group Policy Object > %código%
Logon/Logoff para Audit Logon
Você pode definir qualquer conta de usuário no AD para controle remoto para visualizar ou interagir com a sessão de um usuário acessando a guia Usuários no Gerenciador de Tarefas, clicando com o botão direito e selecionando 'Controle Remoto'. Você pode então ver a sessão deles.
Eu já passei pela maioria das respostas gratuitas / acessíveis nesta página, além de pesquisar em outro lugar (por dias, incluindo ler os registros de eventos mencionados por Andy Bichler) e aqui está uma ferramenta gratuita de monitoramento e bloqueio RDP:
Eu não testei muito, mas baixei e escaneei (a versão portátil) e, embora a interface do usuário seja um pouco feia, ela está funcionando em um servidor 2012 R2 sem problemas até o momento. É "hands on", mas também é óbvio e supera a decifração dos logs de eventos.
Há também o ts_block, que permite bloquear automaticamente os IPs brutos que forçam o RDP do seu servidor (o que, eu suponho, teria algum log de tentativas de RDP):
Como você pode ver nesse link, o autor é um usuário do serverfault. Eu não testei como é basicamente um vbscript que eu precisaria dissecar antes de usar. Mas parece promissor.
O problema com os logs de eventos mencionados por Andy acima é que eles não são muito claros ou descritivos sobre quem está fazendo o que ... pelo menos em um sentido malicioso. Você pode encontrar endereços IP, mas é difícil dizer se eles estão relacionados a todas as tentativas de login malsucedidas. Assim, outra ferramenta além dos registros inerentes parece quase obrigatória se você estiver com o servidor na Internet e tiver alguma preocupação com segurança.
no eventlog -
Logs de Aplicativos e Serviços \ Microsoft \ Windows \ serviços de desktop remoto-rdpcorets
há todas as tentativas de se conectar ao rdp e ao endereço IP
Quando eu estava trabalhando como administrador alguns anos atrás, eu tinha problemas como você faz agora, eu queria monitorar todos que se conectavam através do RDP e exatamente quando e se eles estavam ativos ou ociosos.
Eu avaliei poucos produtos, mas decidi que nenhum deles é bom o suficiente para mim, então eu criei o meu próprio (o problema era que cada um tinha algum tipo de agente ou serviço para coletar os dados, e a solução que eu construí remotamente ao servidor remoto e extrair os dados sem qualquer agente). O produto é chamado agora syskit (ou TSL como Jim mencionado) e é usado amplamente em todo o mundo: D
Você pode verificar as atividades do usuário aqui
Você pode dar uma olhada aqui. É para o Windows XP, mas a maior parte ainda é válida. link