como registrar sessões sservices do terminal

Question

como registrar sessões sservices do terminal

#1 resposta do (6 votos)

2

Eu tenho vários servidores (VMs, se faz alguma diferença) executando o Windows 2003 e 2008 Server e vários usuários que podem estar conectados a qualquer um desses servidores a qualquer momento. é possível de alguma forma escrever eventos de logon / logoff do usuário em um arquivo de log nos servidores do Windows 2003 e 2008, para que eu possa rastreá-lo?

obrigado.

EDIT - Eu também gostaria de saber onde (como no ip / hostname) as conexões são provenientes de

windows-server-2008 windows-server-2003

por radai 24.07.2012 / 08:50

1 resposta

Tags windows-server-2008 windows-server-2003

DNS Load Balancing mais de 20 servidores com sessão e segurança Excluindo um diretório de uma regra de reconfiguração root .htaccess para permitir que ele seja protegido por senha?

score 6 · Answer 1

Eles já estão (ou devem estar) registrados no log de segurança.

IDs de eventos 528 e 540 indicam um logon de usuário, com o tipo 10 indicando uma sessão de servidor de terminal / área de trabalho remota .

O evento 551 indica um logoff, enquanto o Evento 4779 indica uma desconexão, em vez de um logoff adequado.

(todos os eventos do registro de segurança.)

Analisar o log de eventos para esses eventos pode ser francamente difícil, mas pelo menos em 2008, o visualizador de log aprimorado facilita muito a filtragem do EventLog para mostrar apenas os eventos desejados. Ainda assim (e considerando que você tem servidores 2003), talvez valha a pena dedicar um script Powershell para analisar esses valores para você ... ou pagar por um software de análise / agregação de registros de qualidade.

Abaixo está um exemplo da caixa de diálogo de registro que você veria em 2003, embora você provavelmente queira analisar e extrair as informações relevantes em um formato de texto em algum lugar (o que é [relativamente] fácil com o PowerShell).