У овом ћемо чланку размотрити карактеристике ревизије / анализе записа дневника РДП веза у суставу Виндовс. Обично описане методе могу бити корисне у истраживању различитих инцидената на Виндовс терминалским / РДС серверима, када је системски администратор дужан да достави информације: који су се корисници пријавили на РДС сервер, када се одређени корисник пријавио и завршио сесију, одакле / с којег уређаја (име или ИП адреса) Корисник РДП је повезан. Мислим да ће ове информације бити корисне и администраторима корпоративних РДС фарми и власницима РДП сервера на Интернету (Виндовс ВПС се показао прилично популарним).
Чланак је применљив на проучавање евиденције РДП-а како у Виндовс Сервер 2008 Р2, 2012 / Р2, 2016, тако и у одговарајућим десктоп верзијама Виндовса (Виндовс 7, 8.1, 10).Као и други догађаји, евиденција РДП везе у Виндовс-у се чува у записима догађаја. Отворите конзолу Евент Виевер. Постоји неколико различитих часописа у којима можете пронаћи информације о РДП везама..
Дневници Виндовс садрже пуно информација, али брзо проналажење правог догађаја може бити прилично тешко. Када се корисник на даљину повеже са РДС сервером или удаљеном радном површином (РДП), многи се догађаји генеришу у Виндовс евиденцијама. Размотрићемо записе и догађаје у главним фазама РДП везе, који могу бити занимљиви администратору:
- Мрежна веза
- Аутентификација
- Улаз
- Сессион Дисцоннецт / Рецоннецт
- Одјава
Мрежна веза: - успостављање мрежне везе са сервером од корисника РДП клијента. Догађај са ЕвентИД-ом - 1149 (Услуге удаљене радне површине: Провера идентитета корисника је успела). Присуство овог догађаја не указује на успешну аутентификацију корисника. Тај се дневник налази у одјељку Дневници апликација и услуга -> Мицрософт -> Виндовс -> Терминал-Сервицес-РемотеЦоннецтионМанагер -> Оперативни. Укључите филтер за овај догађај (РМБ у дневнику-> Филтрирај тренутни дневник -> ЕвентИд 1149).
Као резултат тога, добићете листу са историјом свих мрежних РДП веза са овим сервером. Као што видите, евиденција означава корисничко име, домену (користи се потврда идентитета НЛА, када је НЛА онемогућена, текст догађаја изгледа другачије) и ИП адреса рачунара са кога је направљена РДП веза.
Аутентификација: - успешна или неуспешна аутентификација корисника на серверу. Виндовс Јоурнал -> Безбедност. У складу са тим, можда ће нас занимати догађаји са ЕвентИД-ом - 4624 (успешна аутентификација - налог је успешно пријављен) или 4625 (грешка аутентификације - налог се није успео пријавити). Имајте на уму вредност ЛогонТипе у случају. Када се пријавите преко сервиса РДП терминала - ЛогонТипе = 10 или 3. Ако ЛогонТипе = 7, а затим поново повезан са постојећом РДП сесијом.
Можете користити догађаје са грешкама аутентификације да бисте се заштитили од удаљеног нагађања лозинком за РДП. Такве ИП адресе можете аутоматски блокирати на ватрозиду једноставном скрипту ПоверСхелл (погледајте чланак).
Корисничко име је садржано у опису догађаја у пољу Име рачуна, име рачунара у Име радне станице, и корисничко име у Адреса мрежног извора.
Обратите пажњу на вредност поља. ТаргетЛогонИД - ово је јединствени идентификатор за сесију корисника са којим можете пратити даљу активност овог корисника. Међутим, приликом прекида са РДП сесије (прекида везе) и поновног повезивања са сесијом, корисник ће добити нови ТаргетЛогонИД (иако РДП сесија остаје иста).Можете добити листу успешних догађаја ауторизације РДП-а (догађај 4624) помоћу ове наредбе ПоверСхелл.
Гет-ЕвентЛог сигурност -афтер (Датум-датум -час 0 -минут 0 -секунда 0) | ? $ _. евентид -ек 4624 -анд $ _. Порука -матцх 'тип за пријаву: \ с + (10) \ с' | Ван мреже
Улаз: - РДП пријава, догађај који се догоди након успешне провере идентитета корисника. Догађај са ЕвентИД-ом - 21 (Услуге удаљене радне површине: Улазак у сесију је успео). Овај дневник се налази у апликацијама и сервисним евиденцијама -> Мицрософт -> Виндовс -> ТерминалСервицес-ЛоцалСессионМанагер -> Оперативни одељак. Као што можете видети овде, можете пронаћи РДП идентификатор сесије за корисника - Сессион ИД.
Догађај са ЕвентИД-ом - 21 (Ремоте Десктоп Сервицес: Примљено обавештење о покретању шкољке) значи успешно покретање љуске Екплорер (изглед прозора радне површине у РДП сесији).
Сессион Дисцоннецт / Рецоннецт - догађаји за прекид / поновно повезивање са сесијом имају различите кодове у зависности од тога шта је узроковало да корисник прекине везу (прекине везу због неактивности, изабере ставку Прекини у сесији, заврши сесију РДП другог корисника или администратора итд.). Ови догађаји су смештени у апликацијама и евиденцијама сервиса -> Мицрософт -> Виндовс -> ТерминалСервицес-ЛоцалСессионМанагер -> Оперативни дневници. Размотрите РДП догађаје који могу бити занимљиви:
- ЕвентИД - 24 (Услуге удаљене радне површине: Сесија је прекинута) - корисник је прекинуо везу са РДП сесијом.
- ЕвентИД - 25 (Услуге удаљене радне површине: Поновно повезивање сесије) - корисник се поново повезао са постојећом РДП сесијом на серверу.
- ЕвентИД - 39 (Сесија је прекинута по сесији ) - сам корисник прекинуо везу са РДП сесијом одабиром одговарајуће ставке менија (а не само затварања прозора РДП клијента). Ако су идентификатори сесије различити, тада је корисника искључио други корисник (или администратор).
- ЕвентИД - 40 (Сесија је прекинута, шифра разлога ) Овде морате погледати код за разлог прекида везе у случају. На пример:
- шифра разлога 0 (Нису доступне додатне информације) - обично значи да је корисник једноставно затворио прозор РДП-а клијента.
- код разлога 5 (Клијентова веза је замењена другом везом) - корисник се поново повезао са старом сесијом.
- шифра разлога 11 (Корисничка активност је покренула прекид везе) - корисник је сам кликнуо дугме Прекини у менију.
Догађај са ЕвентИД-ом - 4778 у Виндовс дневнику -> Сигурност (сесија је поново повезана са Виндов Статионом). Корисник се поново придружио сесији РДП (кориснику је додељен нови ЛогонИД).
Догађај са ЕвентИД-ом 4799 у Виндовс дневнику -> Безбедност (сесија је прекинута са прозорске станице). Прекините везу са РДП сесијом.
Одјава: - одјава корисника. У исто време догађај са ЕвентИД-ом се бележи у евиденцијама апликација и услуга -> Мицрософт -> Виндовс -> ТерминалСервицес-ЛоцалСессионМанагер -> Оперативни дневник 23 (Услуге удаљене радне површине: Успешан одлазак са сесије).
Истовремено, у евиденцији сигурности морате гледати догађај ЕвентИД 4634 (Налог је одјављен).
Евент 9009 (Менаџер прозора радне површине изашао са кодом () у системском дневнику каже да је корисник покренуо завршетак сесије РДП-а, а прозор и графичка љуска корисника су довршени.
Испод је мали ПоверСхелл који из евиденције терминалног РДС сервера преузима историју свих РДП веза за текући дан. Добијена табела приказује време везе, ИП адресу клијента и корисничко РДП име (ако је потребно, у извештај можете укључити и друге врсте улаза).
Гет-ЕвентЛог -ЛогНаме Сецурити -афтер (Гет-дате -час 0 -минут 0 -секунда 0) | ? (4624,4778) садржи $ _. ЕвентИД - и $ _. Порука - подударање типа пријаве: \ с + (10) \ с ' | %
(нев-објецт -Типе ПСОбјецт -Проперти @
ТимеГенератед = $ _
ЦлиентИП = $ _. Порука-замените '(? Сми). * Извор мрежне адресе: \ с + ([^ \ с] +) \ с +. *', '$ 1'
Корисничко име = $ _. Порука-замените '(? Сми). * Назив рачуна: \ с + ([^ \ с] +) \ с +. *', '$ 1'
УсерДомаин = $ _. Порука-замените '(? Сми). * Налог налога: \ с + ([^ \ с] +) \ с +. *', '$ 1'
ЛогонТипе = $ _. Порука-Замените '(? Сми). * Тип пријаве: \ с + ([^ \ с] +) \ с +. *', '$ 1'
)
| сортирај ТимеГенератед -Десцендинг | Изаберите ТимеГенератед, ЦлиентИП '
, @ Н = 'Корисничко име'; Е = '0 \ 1' -ф $ _. Кориснички домен, $ _. Корисничко име '
, @ Н = 'ЛогТипе'; Е =
свитцх ($ _. ЛогонТипе)
2 'Интерактивна - локална пријава'
3 'Мрежна повезаност са заједничком мапом)'
4 'Батцх'
5 'Сервис'
7 'Откључај (након сцреенсавера)'
8 'НетворкЦлеартект'
9 'НевЦредентиалс (локални поступак лажног представљања под постојећом везом)'
10 'РДП'
11 'ЦацхедИнтерацтиве'
дефаулт "ЛогТипе није препознат: $ ($ _. ЛогонТипе)"
Понекад је прикладно са записницима у Екцел прорачунској табели, у којем случају можете поново да учитате било који Виндовс лог у текстуалну датотеку и увозите у Екцел. Дневник можете извести из конзоле Прегледника догађаја (наравно, под условом да записници нису очишћени) или путем командне линије:
ВЕВТУтил упита-догађаја Сигурност> ц: \ пс \ сецурити_лог.ткт
Или тако:
гет-виневент -логнаме "Мицрософт-Виндовс-ТерминалСервицес-ЛоцалСессионМанагер / Оперативе" | Екпорт-Цсв ц: \ пс \ рдп-лог.ткт -Енцодинг УТФ8
Листа тренутних РДП сесија на серверу може се приказати наредбом:
Квинста
Наредба враћа и идентификатор сесије (ИД), корисничко име (УСЕРНАМЕ) и статус (Ацтиве / Дисцоннецт). Ова наредба је погодна за употребу када требате одредити РДП ИД корисничке сесије с сенком везе..
Списак покренутих процеса у одређеној РДП сесији (ИД сесије је наведен):
кпроцесс / ид: 157
На РДП клијенту, дневници нису толико информативни, главна ствар је што се често користе информације о историји РДП веза у регистру..
