Журнал удаленных подключений Windows 10

Обновлено: 21.11.2024

Как собрать журналы доступа RDP для моего компьютера с Windows?

Здравствуйте,
У меня есть рабочий сервер Windows и еще одно окно перехода, которое используется для входа на производственный сервер. Без джампбокса никто не может войти в производственную машину. В моем случае я создал более 3 пользователей-администраторов на сервере Jump Box. Теперь я хотел бы собирать журналы доступа RDP с портала Azure. Можно ли собирать журналы удаленного доступа всех пользователей с портала виртуальных машин Azure. Может ли кто-нибудь дать совет по этому поводу?

1 ответ

Вы можете проверить журналы доступа RDP на компьютере с Windows, но не на портале Azure.

Сетевое подключение — это установление сетевого подключения к серверу с помощью RDP-клиента пользователя. Это событие с идентификатором EventID 1149 (службы удаленных рабочих столов: проверка подлинности пользователя выполнена успешно). Если это событие обнаружено, это не означает, что аутентификация пользователя прошла успешно. Этот журнал находится в «Журналы приложений и служб -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager> Operational»

Аутентификация показывает, успешно ли прошел аутентификацию пользователя RDP на сервере. Журнал находится в «Windows -> Безопасность». Так что вас могут заинтересовать события с EventID 4624 (Учетная запись успешно зарегистрирована) или 4625

Вход в систему относится к RDP-входу в систему, событие, которое появляется после успешной аутентификации пользователя. Это событие с EventID 21 (службы удаленных рабочих столов: вход в сеанс выполнен успешно). Эти события находятся в «Журналах приложений и служб -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational»

Вы можете получить список событий, связанных с успешной аутентификацией RDP (EventID 4624), с помощью этой команды PowerShell:

Вот короткий сценарий PowerShell, в котором выводится история всех подключений RDP за текущий день из журналов терминального сервера RDS. В итоговой таблице показано время подключения, IP-адрес клиента и имя удаленного пользователя (при необходимости вы можете включить в отчет другие LogonTypes).

Если ответ полезен, нажмите «Принять ответ» и проголосуйте за него, это может быть полезно другим участникам сообщества.

ИТ-администраторы отслеживают и контролируют компьютеры, присутствующие в сети организации, в том числе удаленные. На удаленных компьютерах хакерам легко войти в систему, не будучи замеченными. Крайне важно проверять наличие несанкционированных входов в систему, чтобы защитить сеть от потенциальных кибератак.

Следующие шаги показывают, как вы можете отслеживать активность удаленного рабочего стола с помощью встроенного инструмента аудита.

Вы также можете узнать, как ADAudit Plus, сторонний инструмент, может предоставить более полный отчет об активности удаленного рабочего стола со всеми необходимыми точками данных.

Загрузить БЕСПЛАТНО Бесплатная полнофункциональная 30-дневная пробная версия

С собственным аудитом AD

С ADAudit Plus

Чтобы получить отчет,

Войдите в веб-консоль ADAudit Plus как администратор.

Перейдите на вкладку "Отчеты" и в разделе "Локальный вход-выход" на левой панели выберите "Отчет об активности служб удаленных рабочих столов".

Выберите домен и нажмите «Создать».

Выберите «Экспортировать как», чтобы экспортировать отчет в любом из предпочтительных форматов (CSV, PDF, HTML, CSVDE и XLSX).

ADAudit Plus предоставляет отчет об активности пользователей на удаленном рабочем столе на определенной рабочей станции и отображает его в простом и интуитивно понятном пользовательском интерфейсе.

Шаг 1. Включите политику «Аудит входа в систему»

Запустите консоль управления групповыми политиками (Выполнить --> gpedit.msc)

Создайте новый объект групповой политики и свяжите его с доменом, содержащим файловый сервер, или отредактируйте существующий объект групповой политики, связанный с соответствующим доменом.

Перейдите в раздел Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Расширенная конфигурация политики аудита -> Политики аудита -> Вход в систему и выход из системы.

В разделе «Политика аудита» выберите «Аудит входа в систему» ​​и включите аудит для успеха.

Шаг 2. Просмотрите журналы активности удаленного рабочего стола в средстве просмотра событий

Каждый раз, когда пользователь успешно подключается удаленно, в средстве просмотра событий записывается журнал событий. Чтобы просмотреть этот журнал активности удаленного рабочего стола, перейдите в средство просмотра событий. В разделе Журналы приложений и служб -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operational.

Включите фильтр журнала для этого события (щелкните правой кнопкой мыши журнал -> Фильтровать текущий журнал -> EventId 1149).

Нативный аудит становится слишком много?

Упростите аудит и отчетность Active Directory с помощью ADAudit Plus.

Также посмотрите здесь.

С уважением, Дэйв Патрик.
Сертифицированный специалист Microsoft
Microsoft MVP [Windows]

Отказ от ответственности. Эта публикация предоставляется "КАК ЕСТЬ" без каких-либо гарантий или гарантий и не дает никаких прав.

Все ответы

Вы можете включить аудит.

С уважением, Дэйв Патрик.
Сертифицированный специалист Microsoft
Microsoft MVP [Windows]

Отказ от ответственности. Эта публикация предоставляется "КАК ЕСТЬ" без каких-либо гарантий или гарантий и не дает никаких прав.

Спасибо за ответ. но я думаю, что ваша ссылка не работает!

На самом деле перед моими глазами стоит компьютер, и кто-то думает, что кто-то еще получил доступ к этому компьютеру через удаленный рабочий стол. Есть ли файл журнала?

Могу ли я использовать средство просмотра событий (Журналы Windows > Приложение), чтобы доказать, что кто-то имел доступ к этому компьютеру в определенное время (с подключением к удаленному рабочему столу).

С уважением, Дэйв Патрик.
Сертифицированный специалист Microsoft
Microsoft MVP [Windows]

Отказ от ответственности. Эта публикация предоставляется "КАК ЕСТЬ" без каких-либо гарантий или гарантий и не дает никаких прав.

Также посмотрите здесь.

С уважением, Дэйв Патрик.
Сертифицированный специалист Microsoft
Microsoft MVP [Windows]

Отказ от ответственности. Эта публикация предоставляется "КАК ЕСТЬ" без каких-либо гарантий или гарантий и не дает никаких прав.

Большое спасибо!

С уважением, Дэйв Патрик.
Сертифицированный специалист Microsoft
Microsoft MVP [Windows]

Отказ от ответственности. Эта публикация предоставляется "КАК ЕСТЬ" без каких-либо гарантий или гарантий и не дает никаких прав.

Есть ли подобный журнал в WinXP?

Здравствуйте.

Есть ли подобный журнал в WinXP?

Кому интересно, я написал скрипт, который анализирует этот журнал и выводит удобный CSV-файл.

Спасибо, Майк! Работает как шарм, и это спасает меня от многих головных болей, чтобы легко получить простую, но информативную сводку RDP-сессий.

Привет, Майк! Это первый скрипт, который я запустил в PowerShell. Я просто щелкнул правой кнопкой мыши загруженный файл и выбрал «Запустить с помощью PowerShell». Как получить вывод csv?

Думаю, вы уже нашли его, но для тех, кто прочитает эту ветку позже:

Файл csv сохраняется на рабочем столе текущего пользователя на компьютере, на котором выполняется скрипт.

Надеюсь, я смогу получить ответ.

Я попробовал скрипт, но в выходном CSV-файле в столбце ServerName перечислены все серверы, которые я добавил в скрипт, а не по отдельности. то есть

сервер01, сервер02, сервер03 10.1.0.10

Я бы хотел, чтобы это выглядело так

Имя_сервера пользователя IP-адрес

JohnA Server01 10.1.25.10

SueB server02 10.1.33.10

JackJ server03 10.1.28.10

SueB server01 10.1.33.10

Что я делаю не так со скриптом, или я не могу получить этот тип формата со скриптом

В этой статье мы рассмотрим функции аудита подключений по протоколу удаленного рабочего стола (RDP) и анализа журналов в Windows. Как правило, это полезно при расследовании различных инцидентов на серверах Windows, когда от системного администратора требуется предоставить информацию о том, какие пользователи входили на сервер, когда он входил и выходил, и с какого устройства (имя или IP-адрес) пользователь RDP подключался.

События подключения к удаленному рабочему столу

Как и другие события, журналы подключений Windows RDP хранятся в журналах событий. Журналы Windows содержат много информации, но бывает сложно быстро найти нужное событие. Когда пользователь удаленно подключается к серверу Windows, в журналах Windows создается множество событий. Мы рассмотрим следующее:

  • Сетевое подключение
  • Аутентификация
  • Войти
  • Отключение/повторное подключение сеанса
  • Выйти

События подключения к сети

Сетевое подключение соединяет RDP-клиент пользователя с сервером Windows. Это регистрирует EventID — 1149 (службы удаленных рабочих столов: проверка подлинности пользователя выполнена успешно). Наличие этого события не указывает на успешную аутентификацию пользователя. Этот журнал можно найти в журналах приложений и служб ⇒ Microsoft ⇒ Windows ⇒ Terminal-Services-RemoteConnectionManager ⇒ Operational. Вы можете отфильтровать этот журнал, щелкнув правой кнопкой мыши Операционный журнал ⇒ Выбрав «Фильтровать текущий журнал» и введите EventID 1149.

Фильтрация журнала для EventID 1149

Результатом является список с историей всех сетевых подключений RDP к этому серверу. Как видите, файл журнала содержит имя пользователя, домен (если используется аутентификация на уровне сети (NLA)) и IP-адрес компьютера, с которого установлено RDP-подключение.

Вывод EventID 1149

События аутентификации

Аутентификация пользователя на сервере может быть успешной или неудачной. Перейдите к журналам Windows ⇒ Безопасность. Нас интересуют логи с EventID — 4624 (Учетная запись успешно зарегистрирована) или 4625 (Учетная запись не удалась). Обратите внимание на значение LogonType в событии. LogonType — 10 или 3 указывает на новый вход в систему. Если LogonType имеет значение 7, это указывает на повторное подключение к существующему сеансу RDP.

Идентификатор события 4624

Имя пользователя подключаемой учетной записи записывается в поле «Имя учетной записи», имя его компьютера записывается в поле «Имя рабочей станции», а IP-адрес — в поле «Адрес исходной сети».

Взгляните на поле TargetLogonID, которое представляет собой уникальный идентификатор сеанса пользователя, который можно использовать для отслеживания дальнейшей активности этого пользователя. Однако если пользователь отключится от сеанса RDP и снова подключится к сеансу, ему будет выдан новый TargetLogonID (хотя сеанс RDP останется прежним).

Вы можете получить список успешных событий аутентификации через RDP (EventID 4624) с помощью следующей команды PowerShell:

События входа

Вход в систему RDP — это событие, которое появляется после успешной аутентификации пользователя. Запись в журнале с EventID — 21 (службы удаленных рабочих столов: вход в сеанс выполнен успешно). Этот журнал можно найти в журналах приложений и служб ⇒ Microsoft ⇒ Windows ⇒ TerminalServices-LocalSessionManager ⇒ Operational. Как вы можете видеть здесь, вы можете увидеть идентификатор сеанса RDP для пользователя.

Службы удаленных рабочих столов EventID 21

Информация «Службы удаленных рабочих столов: получен запуск оболочки» в EventID 21 означает, что оболочка Explorer была успешно запущена в сеансе RDP.

События отключения и повторного подключения сеанса

События отключения/повторного подключения сеанса имеют разные коды в зависимости от того, что заставило пользователя завершить сеанс, например, отключение из-за бездействия, выбор «Отключить» в меню «Пуск», разрыв сеанса RDP другим пользователем или администратором и т. д. Эти события могут можно найти в журналах приложений и служб ⇒ Microsoft ⇒ Windows ⇒ TerminalServices-LocalSessionManager ⇒ Operational. Давайте посмотрим на события RDP, которые могут представлять интерес:

  • EventID — 24 (службы удаленных рабочих столов: сеанс отключен) — пользователь отключился от сеанса RDP.
  • EventID — 25 (службы удаленных рабочих столов: переподключение сеанса выполнено успешно) — пользователь повторно подключился к своему существующему сеансу RDP на сервере.
  • EventID — 39 (сеанс A был отключен сеансом B) — пользователь отключился от своего сеанса RDP, выбрав соответствующий пункт меню (а не просто закрыл окно клиента RDP, нажав «x» в правом верхнем углу). Если идентификаторы сеанса отличаются, пользователь был отключен другим пользователем или администратором.
  • EventID – 40 (сеанс A был отключен, код причины B). Здесь следует посмотреть код причины отключения в событии. Например:
    • Код причины 0 (дополнительная информация отсутствует) — обычно указывает, что пользователь только что закрыл окно клиента RDP.
    • Код причины 5 (подключение клиента было заменено другим подключением) — пользователь повторно подключился к своему старому сеансу.
    • Код причины 11 (действие пользователя привело к отключению) — пользователь нажал кнопку "Отключить" в меню.

    События выхода из системы

    Журналы выхода отслеживают отключение пользователя от системы. В журналах приложений и служб ⇒ Microsoft ⇒ Windows ⇒ TerminalServices-LocalSessionManager ⇒ Операционные журналы мы можем найти EventID 23. В этом случае в журнале безопасности нам нужно найти EventID 4634 (учетная запись была отключена).

    Выход из сеанса RDP EventID 23

    Событие 9009 (Диспетчер окон рабочего стола завершился с кодом (x)) в системном журнале показывает, что пользователь инициировал завершение сеанса RDP, и окно пользователя и графическая оболочка были закрыты. Ниже приведен небольшой PowerShell, который загружает историю всех подключений RDP за текущий день с сервера службы удаленных рабочих столов. В таблице ниже показано время подключения, IP-адрес клиента и имя пользователя RDP (при необходимости вы можете включить в отчет другие типы входа в систему).

    Экспорт журналов RDP

    Иногда необходимо экспортировать журналы RDP в таблицу Excel, в этом случае вы можете загрузить любой журнал Windows в текстовый файл, а затем импортировать его в Excel.Вы можете экспортировать журнал из консоли просмотра событий или из командной строки:

    Список текущих сеансов RDP на сервере можно отобразить командой «Qwinsta»

    вывод qwinsta

    Команда возвращает идентификатор сеанса, имя пользователя и статус (активен/отключен). Эта команда полезна, когда вам нужно определить идентификатор сеанса RDP пользователя во время теневого подключения.

    После определения идентификатора сеанса вы можете просмотреть список запущенных процессов в конкретном сеансе RDP:

    Вывод qprocess

    Читайте также: