Как посмотреть кто и когда подключался по RDP?

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
Как посмотреть кто и когда подключался по RDP?, (нужна история подключений Windows Server )
Мне нужна история подключений по RDP к моему серверу, подскажите как это посмотреть ?
1. Для Windows Server 2008\2012

Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

Или вариант из консоли:
get-eventlog -logname какойнужен   | Export-Csv c:\1.txt  -Encoding UTF8  
Send-MailMessage -to " admin@domain.ru" -from "admin@domain.ru " -Subject "pismo s logom" -Attachment "c:\1.txt" -SmtpServer mail.domain.ru

Глянуть как зовется нужный лог можно: get-eventlog -list

2. для сервера W2003 SE R2 SP2

При включенном аудите, смотреть тут:  в Security логах нужно смотреть записи с параметром Logon Type - 10 - это как раз событие Remote Access

А вот вам скрипт для автоматического логирования:
Код

Ставиться в домене, на logon
логи имеют вид:
LOGON | 23.10.2009 at 17:26:03 | EKT-TS10 <- Иванов Иван
LOGOFF | 23.10.2009 at 19:10:20 | EKT-TS10 -> Иванов Иван
LOGOFF | 23.10.2009 at 19:47:45 | EKT-TS10 -> Петров Петр
Директорию создаются по месяцам.
Если надо только на сервер - тогда ставиш загрузку на вход на сервер,
у меня стоит на весь домен.

-------------------------------------------------------------------------------------
' time_logon.vbs
' C ошибками нафиг
on error resume next 
wYYYY = DatePart("YYYY" , Now) 
wMM = DatePart("M" , Now) 
If Len(wMM) = 1 Then 
wMM = "0" & wMM 
End If 
Set WshShell = CreateObject("WScript.Shell") 
CompName = WshShell.ExpandEnvironmentStrings("%computername%") 
UserName = WshShell.ExpandEnvironmentStrings("%username%") 
Curdate = (FormatDateTime(date(),vbgeneraldate)) 
Curtime = (FormatDateTime(now(),vblongtime)) 
Dim objFSO, objFolder, objShell, objTextFile, objFile 
Dim strDirectory, strFile, strText
' Поправить путь на разшаренную сетевую папку, там будут лежать логи
strDirectory = "\\proxima-srv1\logfilez$\" 
strMonthDirectory = ("AuthLog-"& wMM &"-"& wYYYY) 
strFile = ("\auth-" & curdate & ".log") 
strTextOFF = ("LOGOFF | " & Curdate & " at " & Curtime & " | " & Compname & " -> "& username) 
strTextON = ("LOGON | " & Curdate & " at " & Curtime & " | " & Compname & " <- "& username) 
WTODO = Wscript.Arguments.Item(0) 'cmd argument 

Set objFSO = CreateObject("Scripting.FileSystemObject") 

If objFSO.FolderExists(strDirectory) Then 
If not objFSO.FolderExists(strDirectory & strMonthDirectory) Then 
Set objFolder = objFSO.CreateFolder(strDirectory & strMonthDirectory) 
End if 

If not objFSO.FileExists(strDirectory & strMonthDirectory & strFile) Then 
Set objFile = objFSO.CreateTextFile(strDirectory & strMonthDirectory & strFile) 
End If 

set objFile = nothing 
set objFolder = nothing 
Const ForAppending = 8 

Set objTextFile = objFSO.OpenTextFile _ 
(strDirectory & strMonthDirectory & strFile, ForAppending, True) 

IF WTODO = "off" then 
objTextFile.WriteLine(strTextOFF) 
Else 
objTextFile.WriteLine(strTextON) 
End if 

objTextFile.Close 
End If 

WScript.Quit
-------------------------------------------------------------------------------

Я не могу это найти. Где это находится ?

Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

У меня windows server 2012 r2


-------------------------

Server Manager это самое главное окно, а вот где остальной путь не знаю.
для Windows 2012
Server Manager -> tools -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
Спс, пригодилось.
Если влом сидеть с логом, можно упростить:

Собираем лог security в txt файл

WEVTUtil query-events Security > d:\log.txt

находим все IP в логе
grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" /123/log.txt | sort -u

в выводе
10.80.5.10
127.0.0.1
xxx.138.40.xxx

так же можно узнать пользователей кто с какими именами подключался

grep -E -o "<Data Name='TargetUserName'>[^[:space:]]+@домен.LOCAL</Data>" /log.txt | sort -u
выдаст

<Data Name='TargetUserName'>имя пользователя@домен.LOCAL</Data>
<Data Name='TargetUserName'>имя пользователя@домен.LOCAL</Data>
Цитата
admin пишет:
1. Для Windows Server 2008\2012



Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational



Или вариант из консоли:

get-eventlog -logname какойнужен   | Export-Csv c:\1.txt  -Encoding UTF8  

Send-MailMessage -to " admin@domain.ru" -from "admin@domain.ru " -Subject "pismo s logom" -Attachment "c:\1.txt" -SmtpServer mail.domain.ru



Глянуть как зовется нужный лог можно: get-eventlog -list



2. для сервера W2003 SE R2 SP2



При включенном аудите, смотреть тут:  в Security логах нужно смотреть записи с параметром Logon Type - 10 - это как раз событие Remote Access



А вот вам скрипт для автоматического логирования:

Код
 
Ставиться в домене, на logon
логи имеют вид:
LOGON | 23.10.2009 at 17:26:03 | EKT-TS10 <- Иванов Иван
LOGOFF | 23.10.2009 at 19:10:20 | EKT-TS10 -> Иванов Иван
LOGOFF | 23.10.2009 at 19:47:45 | EKT-TS10 -> Петров Петр
Директорию создаются по месяцам.
Если надо только на сервер - тогда ставиш загрузку на вход на сервер,
у меня стоит на весь домен.

-------------------------------------------------------------------------------------
' time_logon.vbs
' C ошибками нафиг
on error resume next 
wYYYY = DatePart("YYYY" , Now) 
wMM = DatePart("M" , Now) 
If Len(wMM) = 1 Then 
wMM = "0" &amp; wMM 
End If 
Set WshShell = CreateObject("WScript.Shell") 
CompName = WshShell.ExpandEnvironmentStrings("%computername%") 
UserName = WshShell.ExpandEnvironmentStrings("%username%") 
Curdate = (FormatDateTime(date(),vbgeneraldate)) 
Curtime = (FormatDateTime(now(),vblongtime)) 
Dim objFSO, objFolder, objShell, objTextFile, objFile 
Dim strDirectory, strFile, strText
' Поправить путь на разшаренную сетевую папку, там будут лежать логи
strDirectory = "\\proxima-srv1\logfilez$\" 
strMonthDirectory = ("AuthLog-"&amp; wMM &amp;"-"&amp; wYYYY) 
strFile = ("\auth-" &amp; curdate &amp; ".log") 
strTextOFF = ("LOGOFF | " &amp; Curdate &amp; " at " &amp; Curtime &amp; " | " &amp; Compname &amp; " -> "&amp; username) 
strTextON = ("LOGON | " &amp; Curdate &amp; " at " &amp; Curtime &amp; " | " &amp; Compname &amp; " <- "&amp; username) 
WTODO = Wscript.Arguments.Item(0) 'cmd argument 

Set objFSO = CreateObject("Scripting.FileSystemObject") 

If objFSO.FolderExists(strDirectory) Then 
If not objFSO.FolderExists(strDirectory &amp; strMonthDirectory) Then 
Set objFolder = objFSO.CreateFolder(strDirectory &amp; strMonthDirectory) 
End if 

If not objFSO.FileExists(strDirectory &amp; strMonthDirectory &amp; strFile) Then 
Set objFile = objFSO.CreateTextFile(strDirectory &amp; strMonthDirectory &amp; strFile) 
End If 

set objFile = nothing 
set objFolder = nothing 
Const ForAppending = 8 

Set objTextFile = objFSO.OpenTextFile _ 
(strDirectory &amp; strMonthDirectory &amp; strFile, ForAppending, True) 

IF WTODO = "off" then 
objTextFile.WriteLine(strTextOFF) 
Else 
objTextFile.WriteLine(strTextON) 
End if 

objTextFile.Close 
End If 

WScript.Quit
-------------------------------------------------------------------------------

 

Скрип рабочий и полезный только не могу понять почему логофф не показывает, его же надо на логофф тоже ставить???
И странно ставлю политику на весь домен а отображается только учетка администратора, а пользователей нет?
Цитата
Сергей пишет:
И странно ставлю политику на весь домен а отображается только учетка администратора, а пользователей нет?

Разобрался не было прав на папку, а вот логофф не могу понять почему не работает, ставлю в политике на логофф, он все равно пишет что логон, может в скрипте что то допилить надо?
Страницы: 1
Ответить
Форма ответов
 
Текст сообщения*
:) ;) :D 8) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.