Início / server / Perguntas / 721362
Accepted
Root Loop
Asked: 2015-09-10 18:25:15 +0800 CST

Como logar o IP que conecta de fora da empresa ao terminal server?

  • 772

Temos usuários RDP para servidores de terminal da empresa. Existe uma maneira de rastrear o endereço IP fora da empresa de onde os usuários se conectam?

Eu sei que há logs disponíveis em serviços de terminal no log de eventos, mas não vejo nenhum endereço IP público lá para conexão remota de fora da empresa.

Qualquer ideia?

terminal-server

2 respostas

  1. Best Answer

    Sua pergunta não fornece informações sobre como os usuários se conectam ao servidor de terminal de fora. Suponho que exista um gateway em sua empresa, que redirecione as solicitações da internet para o terminal server. Em caso afirmativo, você pode obter essas informações no log do gateway.

    Se, no entanto, seu servidor de terminal estiver conectado diretamente à Internet e tiver IP público por algum motivo, talvez isso seja o que pode ajudá-lo:

    <#

Features:
    1) This script reads the event log "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" from multiple servers and outputs the human-readable results to a CSV.

Instructions:
    1) Before you run, edit this line to include one or several of your own servers.

Requirements:
    1) TBD


April 8 2015 - Version 0.2
Mike Crowley

http://BaselineTechnologies.com

#>


$SessionHosts = @('Server2', 'Server3', 'Server4', 'Server5')

foreach ($Server in $SessionHosts) {

    $LogFilter = @{
        LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
        ID = 21, 23, 24, 25
        }

    $AllEntries = Get-WinEvent -FilterHashtable $LogFilter -ComputerName $Server

    $AllEntries | Foreach { 
           $entry = [xml]$_.ToXml()
        [array]$Output += New-Object PSObject -Property @{
            TimeCreated = $_.TimeCreated
            User = $entry.Event.UserData.EventXML.User
            IPAddress = $entry.Event.UserData.EventXML.Address
            EventID = $entry.Event.System.EventID
            ServerName = $Server
            }        
           } 

}

$FilteredOutput += $Output | Select TimeCreated, User, ServerName, IPAddress, @{Name='Action';Expression={
            if ($_.EventID -eq '21'){"logon"}
            if ($_.EventID -eq '22'){"Shell start"}
            if ($_.EventID -eq '23'){"logoff"}
            if ($_.EventID -eq '24'){"disconnected"}
            if ($_.EventID -eq '25'){"reconnection"}
            }
        }

$Date = (Get-Date -Format s) -replace ":", "."
$FilteredOutput | Sort TimeCreated | Export-Csv $env:USERPROFILE\Desktop\$Date`_RDP_Report.csv -NoTypeInformation


#End

    Este script powershell do site da Microsoft Technet analisa os logs de eventos sobre as informações das sessões RDP, incluindo IPs do cliente, e gera os resultados legíveis por humanos em um CSV.

    • 1

  2. Se alguém estiver procurando por endereços IP de tentativas de conexão RDP com falha (por exemplo, no caso de ataques de força bruta contra seu servidor da web), o log de eventos do Windows é Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operationale o ID do evento é 140(registrado como um aviso):

    A connection from the client computer with an IP address of 123.123.123.123 failed because the user name or password is not correct.

    Você poderia então escrever um script que permite que o firewall bloqueie endereços IP com várias tentativas malsucedidas.

    • 1

relate perguntas