是否有任何RDP活动日志？-Windows Server 2008 R2

一些用户已通过RDP登录到服务器。

我想监视活动，但是我不太了解Windows Server。

我希望可以查阅一些日志。

有任何想法吗？:)

一些选择..

1. 使用策略设置“审核登录事件”进行的基本Windows日志记录可以满足您的需求。
2. 您还可以使用远程桌面网关并配置审核，以记录哪些用户正在通过RDP访问哪些内部资源。一些其他信息可在此处获得。

1. 打开事件查看器（eventvwr.msc）
2. 转到Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
3. 打开Admin或Operational

您将看到会话列表。日期/时间戳/ IP /用户名等。您也可以在下面查看Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

这是PowerShell中的解决方案：

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

有关我们正在过滤的相关EventId的信息，可以在这里找到：

• 成功登录：https : //www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx? eventID =4624
• 重新连接的会话：https : //www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx? eventID =4778

对于RDP连接，您特别对LogType 10感兴趣。远程交互 这里我没有过滤其他类型的东西。但是如果需要，添加另一个过滤器很简单。

您还需要确保创建了这些日志。要做到这一点：

• 请点击 Start
• 选择 Control Panel
• 选择 Administrative Tools
• 打开 Local Security Policy
• 导航Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
• 修改Audit Logon为Success

除了梳理事件日志，在安全日志中查找登录类型10（远程桌面）或查看TerminalServices频道事件日志之外，您还需要使用第三方软件。

除了上面提到的TSL外，这是我过去成功使用过的另一个-Remote Desktop Reporter

http://www.rdpsoft.com/products

如果您选择第三方，请确保您评估了多个，并从每个供应商处获得了报价...价格存在巨大差异-每个命名用户，每个并发用户的某些供应商价格，以及某些仅通过服务器的价格。还请确保该解决方案随附其自己的数据库或SQL的精简版本-否则，您还将受到数据库许可费用的打击。

您可以通过转到任务管理器中的“用户”选项卡，右键单击并选择“远程控制”，在AD中设置用于远程控制的任何用户帐户，以查看或与用户会话进行交互。然后，您可以查看他们的会话。

我浏览过此页面上的大多数免费/负担得起的答案，以及在其他地方进行搜索（几天之内，包括阅读Andy Bichler提到的事件日志），这是另一个免费的RDP监视和阻止工具：

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

我尚未对其进行广泛的测试，但已下载并对其进行了扫描（便携式版本），尽管UI有点难看，但到目前为止，它在2012 R2服务器上都可以正常使用。它是“动手的”，但也很容易理解，并且可以破译事件日志。

还有ts_block，它允许您自动阻止强行强制服务器RDP的IP（我猜想会有一些RDP尝试日志）：

https://github.com/EvanAnderson/ts_block

正如您在该链接中看到的那样，作者是serverfault用户。我没有测试过它，因为它基本上是一个vbscript，在使用前需要剖析。但是，这似乎很有希望。

上面Andy提到的事件日志的问题在于，它们对于谁在做什么并不十分清楚或具有描述性……至少是在恶意的意义上。您可以找到IP地址，但是很难判断它们是否与所有失败的登录尝试有关。因此，如果您的服务器面向互联网并且对安全性有任何担忧，则除了固有日志外，其他工具似乎几乎是必需的。

在事件日志中-

应用程序和服务日志\ Microsoft \ Windows \远程桌面服务-rdpcorets

有所有尝试连接到rdp和ip地址的尝试

几年前，当我作为管理员工作时，我遇到了像现在一样的问题，我想监视通过RDP连接的每个人，以及他们何时处于活动状态或空闲状态。

我评估了很少的产品，但认为它们对我来说都不够好，所以我构建了自己的产品（问题是每个人都有某种代理或服务来收集数据，而我构建的解决方案是使用TS API远程远程服务器，无需任何代理即可提取数据）。该产品现在称为syskit（或Jim提到的TSL），并且在世界各地广泛使用：D

您可以在此处检查用户活动