Как посмотреть кто и когда подключался по RDP?

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
Как посмотреть кто и когда подключался по RDP?, (нужна история подключений Windows Server )
Мне нужна история подключений по RDP к моему серверу, подскажите как это посмотреть ?
1. Для Windows Server 2008\2012

Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

Или вариант из консоли:
get-eventlog -logname какойнужен   | Export-Csv c:\1.txt  -Encoding UTF8  
Send-MailMessage -to " admin@domain.ru" -from "admin@domain.ru " -Subject "pismo s logom" -Attachment "c:\1.txt" -SmtpServer mail.domain.ru

Глянуть как зовется нужный лог можно: get-eventlog -list

2. для сервера W2003 SE R2 SP2

При включенном аудите, смотреть тут:  в Security логах нужно смотреть записи с параметром Logon Type - 10 - это как раз событие Remote Access

А вот вам скрипт для автоматического логирования:
Код

Ставиться в домене, на logon
логи имеют вид:
LOGON | 23.10.2009 at 17:26:03 | EKT-TS10 <- Иванов Иван
LOGOFF | 23.10.2009 at 19:10:20 | EKT-TS10 -> Иванов Иван
LOGOFF | 23.10.2009 at 19:47:45 | EKT-TS10 -> Петров Петр
Директорию создаются по месяцам.
Если надо только на сервер - тогда ставиш загрузку на вход на сервер,
у меня стоит на весь домен.

-------------------------------------------------------------------------------------
' time_logon.vbs
' C ошибками нафиг
on error resume next 
wYYYY = DatePart("YYYY" , Now) 
wMM = DatePart("M" , Now) 
If Len(wMM) = 1 Then 
wMM = "0" & wMM 
End If 
Set WshShell = CreateObject("WScript.Shell") 
CompName = WshShell.ExpandEnvironmentStrings("%computername%") 
UserName = WshShell.ExpandEnvironmentStrings("%username%") 
Curdate = (FormatDateTime(date(),vbgeneraldate)) 
Curtime = (FormatDateTime(now(),vblongtime)) 
Dim objFSO, objFolder, objShell, objTextFile, objFile 
Dim strDirectory, strFile, strText
' Поправить путь на разшаренную сетевую папку, там будут лежать логи
strDirectory = "\\proxima-srv1\logfilez$\" 
strMonthDirectory = ("AuthLog-"& wMM &"-"& wYYYY) 
strFile = ("\auth-" & curdate & ".log") 
strTextOFF = ("LOGOFF | " & Curdate & " at " & Curtime & " | " & Compname & " -> "& username) 
strTextON = ("LOGON | " & Curdate & " at " & Curtime & " | " & Compname & " <- "& username) 
WTODO = Wscript.Arguments.Item(0) 'cmd argument 

Set objFSO = CreateObject("Scripting.FileSystemObject") 

If objFSO.FolderExists(strDirectory) Then 
If not objFSO.FolderExists(strDirectory & strMonthDirectory) Then 
Set objFolder = objFSO.CreateFolder(strDirectory & strMonthDirectory) 
End if 

If not objFSO.FileExists(strDirectory & strMonthDirectory & strFile) Then 
Set objFile = objFSO.CreateTextFile(strDirectory & strMonthDirectory & strFile) 
End If 

set objFile = nothing 
set objFolder = nothing 
Const ForAppending = 8 

Set objTextFile = objFSO.OpenTextFile _ 
(strDirectory & strMonthDirectory & strFile, ForAppending, True) 

IF WTODO = "off" then 
objTextFile.WriteLine(strTextOFF) 
Else 
objTextFile.WriteLine(strTextON) 
End if 

objTextFile.Close 
End If 

WScript.Quit
-------------------------------------------------------------------------------

Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Я не могу это найти. Где это находится ?

Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

У меня windows server 2012 r2


-------------------------

Server Manager это самое главное окно, а вот где остальной путь не знаю.
для Windows 2012
Server Manager -> tools -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Спс, пригодилось.
Если влом сидеть с логом, можно упростить:

Собираем лог security в txt файл

WEVTUtil query-events Security > d:\log.txt

находим все IP в логе
grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" /123/log.txt | sort -u

в выводе
10.80.5.10
127.0.0.1
xxx.138.40.xxx

так же можно узнать пользователей кто с какими именами подключался

grep -E -o "<Data Name='TargetUserName'>[^[:space:]]+@домен.LOCAL</Data>" /log.txt | sort -u
выдаст

<Data Name='TargetUserName'>имя пользователя@домен.LOCAL</Data>
<Data Name='TargetUserName'>имя пользователя@домен.LOCAL</Data>
Цитата
admin пишет:
1. Для Windows Server 2008\2012



Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational



Или вариант из консоли:

get-eventlog -logname какойнужен   | Export-Csv c:\1.txt  -Encoding UTF8  

Send-MailMessage -to " admin@domain.ru" -from "admin@domain.ru " -Subject "pismo s logom" -Attachment "c:\1.txt" -SmtpServer mail.domain.ru



Глянуть как зовется нужный лог можно: get-eventlog -list



2. для сервера W2003 SE R2 SP2



При включенном аудите, смотреть тут:  в Security логах нужно смотреть записи с параметром Logon Type - 10 - это как раз событие Remote Access



А вот вам скрипт для автоматического логирования:

Код
 
Ставиться в домене, на logon
логи имеют вид:
LOGON | 23.10.2009 at 17:26:03 | EKT-TS10 <- Иванов Иван
LOGOFF | 23.10.2009 at 19:10:20 | EKT-TS10 -> Иванов Иван
LOGOFF | 23.10.2009 at 19:47:45 | EKT-TS10 -> Петров Петр
Директорию создаются по месяцам.
Если надо только на сервер - тогда ставиш загрузку на вход на сервер,
у меня стоит на весь домен.

-------------------------------------------------------------------------------------
' time_logon.vbs
' C ошибками нафиг
on error resume next 
wYYYY = DatePart("YYYY" , Now) 
wMM = DatePart("M" , Now) 
If Len(wMM) = 1 Then 
wMM = "0" &amp; wMM 
End If 
Set WshShell = CreateObject("WScript.Shell") 
CompName = WshShell.ExpandEnvironmentStrings("%computername%") 
UserName = WshShell.ExpandEnvironmentStrings("%username%") 
Curdate = (FormatDateTime(date(),vbgeneraldate)) 
Curtime = (FormatDateTime(now(),vblongtime)) 
Dim objFSO, objFolder, objShell, objTextFile, objFile 
Dim strDirectory, strFile, strText
' Поправить путь на разшаренную сетевую папку, там будут лежать логи
strDirectory = "\\proxima-srv1\logfilez$\" 
strMonthDirectory = ("AuthLog-"&amp; wMM &amp;"-"&amp; wYYYY) 
strFile = ("\auth-" &amp; curdate &amp; ".log") 
strTextOFF = ("LOGOFF | " &amp; Curdate &amp; " at " &amp; Curtime &amp; " | " &amp; Compname &amp; " -> "&amp; username) 
strTextON = ("LOGON | " &amp; Curdate &amp; " at " &amp; Curtime &amp; " | " &amp; Compname &amp; " <- "&amp; username) 
WTODO = Wscript.Arguments.Item(0) 'cmd argument 

Set objFSO = CreateObject("Scripting.FileSystemObject") 

If objFSO.FolderExists(strDirectory) Then 
If not objFSO.FolderExists(strDirectory &amp; strMonthDirectory) Then 
Set objFolder = objFSO.CreateFolder(strDirectory &amp; strMonthDirectory) 
End if 

If not objFSO.FileExists(strDirectory &amp; strMonthDirectory &amp; strFile) Then 
Set objFile = objFSO.CreateTextFile(strDirectory &amp; strMonthDirectory &amp; strFile) 
End If 

set objFile = nothing 
set objFolder = nothing 
Const ForAppending = 8 

Set objTextFile = objFSO.OpenTextFile _ 
(strDirectory &amp; strMonthDirectory &amp; strFile, ForAppending, True) 

IF WTODO = "off" then 
objTextFile.WriteLine(strTextOFF) 
Else 
objTextFile.WriteLine(strTextON) 
End if 

objTextFile.Close 
End If 

WScript.Quit
-------------------------------------------------------------------------------

 

Скрип рабочий и полезный только не могу понять почему логофф не показывает, его же надо на логофф тоже ставить???
И странно ставлю политику на весь домен а отображается только учетка администратора, а пользователей нет?
Цитата
Сергей пишет:
И странно ставлю политику на весь домен а отображается только учетка администратора, а пользователей нет?

Разобрался не было прав на папку, а вот логофф не могу понять почему не работает, ставлю в политике на логофф, он все равно пишет что логон, может в скрипте что то допилить надо?
Спасибо, получилось!
admin,
Ты гений
Serv2008
При открытии директории "Applications ans Services Logs" списка нет. Попытка открытия сохраненного журнала не выдает ни один журнал. Может надо включить ведение журнала?
Страницы: 1
Ответить
Форма ответов
 
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.