(Дополнение Кто и откуда подключался по RDP — скрипты)
Иной раз на форумах Technet-RU попадаются интересные вопросы. И ответы. Вот один из них: как узнать кто и откуда подключался к серверу по RDP?
Оказывается не обязательно анализировать журнал Security и события входа в систему. Есть более удобный способ.
Открываем журнал
Diagnostics -> Event Viewer -> Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager->Operational
и смотрим события с номером Event Id 1149. Для удобства можно отфильтровать журнал по событию с этим номером.
Если же интересует более конкретный вопрос, например, входы интересующего нас пользователя, то вместо стандартного фильтра придется использовать запрос в формате XML:
<QueryList> <Query Id=»0″ Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»> <Select Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»>*[System[(EventID=1149)]] and *[UserData[EventXML[(Param1=‘Ivanov’)]]]</Select> </Query></QueryList>
В событии с номером 1149 есть следующие параметры:
Param1 логин пользователя
Param2 имя домена логина пользователя
Param3 IP-адрес с которого заходил пользователь
Как видите можно использовать Param3 и узнать были ли подключения с конкретного адреса.
<QueryList> <Query Id=»0″ Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»> <Select Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»>*[System[(EventID=1149)]] and *[UserData[EventXML[(Param3=’192.168.0.50)]]]</Select> </Query></QueryList>
Вместо заключения.
Раньше поражало количество событий, которые пишет в журналы Windows. Теперь дополнительно к этому поражает количество журналов событий! Не знаю, как в этом ориентироваться, но главное это есть и, если повезет найти, это можно с пользой использовать.
Filed under: Windows | Tagged: Event Viewer, filter, RDP, XML |
ILYA Sazonov: ITPro 
У меня этот журнал пуст. Хотя в Security события связанные с RDP пишутся.
Возможно журнал просто выключен — посмотрите его свойства.
Действительно, журнал был выключен- я его включил, но и после включения и последуущего перелогина появляются только события 261, 258 (Прослушиватель RDP-Tcp получил соединение)
Помогите понять.
Прихожу на работу, шевелю мышь — загорается монитор и вижу, что кроме меня есть ещё какой то неизвестный пользователь.
Первым делом подумал, что кто то пытался подключиться по rdp.
Зашёл под собой. Посмотрел логи кто когда и откуда коннектился и не увидел в них никого кроме себя. Время соответствует моим подключениям.
Мой комп в локалке и лезет в инет через шлюз.
Вопрос откуда он взялся и кто это вообще?
Или это просто глюк винды 8мой и всё нормально и ник то не пытался меня ломануть??
Задайте вопрос на форумах TechNet-RU, приведите скриншот того, что вас смущает — посмотрим.
У меня ситуация наоборот — отфильтровал по событию 1149 — а там столько входов с всевозможных внешних адресов — просто жуть … главное, сервер работает норм (Exch2013 мордой в инет). И подключения-то успешные … что-то не понимаю я.
Если это ваши лигитимные пользователи, то они могут выполнять подключения с мобильных устройств, которые получают динамические адреса для каждой интернет сессии.
[…] Кто и откуда подключался по RDP? […]
Илья, а почему в некоторых ивентах (1149) не указуется юзер ?
Вот у меня много записей такого вида
Remote Desktop Services: User authentication succeeded:
User:
Domain:
Source Network Address: 92.60.ууу.ххх
Надо в соседних событиях посмотреть. Да и это событие в формате XML посмотреть.
На глаз это как, не совсем понятно. Какие признаки должны быть чтобы определить, что файл юзался по RDP?
Дополнительно надо включать аудит на файловой системе, чтобы зафиксировать событие доступа к файлу. Потом анализировать и сопоставлять события журналов.
Очень полезная заметка, Спасибо вам за неё. Подскажите пожалуйста а как модифицировать xml чтоб есче дополнительно и за определённый интевал времени можно было отфильтровать? Если это конечно возможно, ибо я пробовал у меня нечего не получилось.
Вы можете сделать простой запрос в оснастке MMC и посмореть, как выглядит выглядит этот запрос в XML.
Перед тем как писать предыдущий комментарий я это и сделал, и попробовал подставить в ваш пример, но нечего не вышло мне выдало ошибку, если не изменяет склероз про частичный поиск.
Вот простой запрос из MMC
<QueryList> <Query Id="0" Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational"> <Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">*[System[TimeCreated[@SystemTime>='2018-09-02T06:26:06.000Z' and @SystemTime<='2018-09-03T07:26:06.999Z']]]</Select> </Query> </QueryList>