碼上快樂

相關內容    簡體    繁體

記錄遠程用戶登錄日志

本文轉載自   查看原文   2015-04-22 15:14   3128 
 

記錄遠程用戶登錄日志

 

對於日志的問題,其實Terminal Service自己是有日志功能的,在管理工具中打開遠程控制服務配置(Terminal Service Configration),點擊“連接”,右擊你想配置的RDP服務(比如RDP-TCP(Microsoft RDP5.0)),選中書簽“權限”,點擊左下角的“高級”,看見上面那個“審核”了嗎?我們來加入一個Everyone組,這代表所有的用戶,然后審核他的“連接”、“斷開”、“注銷”的成功和“登陸”的功能和失敗就足夠了,審核太多了反而不好,這個審核試記錄在安全日志中的,可以從“管理工具”->“日志查看器”中查看。 
現在什么人什么時候登陸都一清二楚了,可是它卻不記錄客戶端的IP(只能查看在線用戶的ip)而是記錄計算機名,我們可以建立一個.bat文件,叫做TSLog.bat,這個文件用來記錄登錄者的ip,內容如下: 
time /t>>TSLog.log 
netstat -n -p tcp|find ":3389">>TSLog.log 
start Explorer 
我來解釋一下這個文件的含義: 
第一行是記錄用戶登陸的時間,Time/t的意思是直接返回系統時間(如果不加/t,系統會等待你輸入新的時間),然后我們用追加符號 
>>把這個時間記入TSLog.log 
第二行是記錄用戶的ip地址,Netstat是用來顯示當前網絡連接狀況的命令,-n表示顯緄p和端口而不是域名、協議,-p tcp是只顯示 
tcp協議,然后我們用管道符號“|”把這個命令的結果輸出給Find命令,從輸出結果中查找包含“:3389”的行(這就是我們要得客戶 
的ip所在行,如果你改了終端服務的端口,這個數值也要作相應的改變),最后我們同樣把這個結果重定向到日志文件TSLog.log中去, 
於是在TSLog.log文件中,記錄格式如下: 
22:40 
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED 
22:54 
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED 
也就是說只要這個TSLog.bat文件一運行,所有連在3389端口的ip都會被記錄,那么如何讓這個批處理文件運行呢?我們知道終端服務允許我們為用戶自定義起始的程序,在終端服務配置中,我們覆蓋用戶的登陸腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本,這樣每個用戶登錄后都必須執行這個腳本,因為默認得腳本(相當於SHELL環境)是Explorer(資源管理器),所以我在TSLog.bat的最后一行加上了啟動Explorer的命令start Explorer,如果不加這一行命令,用戶是沒有辦法進入桌面的。當然,如果你只需要給用戶特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替換成任意的SHELL。 
這個腳本也可以有其他的寫法,例如寫一個腳本把每個登陸用戶的ip發送到自己的信箱對於很重要的服務器也是一個很好的方法。正常情況下,一般的用戶沒有查看終端服務設置的權限,所以他不會知道你對登陸進行了ip審核,只要把TSLog.bat文件和TSLog.log 文件放在比較隱蔽的目錄里就足夠了,不過需要注意的是這只是一個簡單的終端服務日志攻略,並沒有太多的安全保障措施和權限機制 ,如果服務器有更高的安全要求,那還是需要通過編程后購買入侵檢測 軟件來完成。

 _______________________________________________________


首先建立一個bat 文件,比如:login.bat    //或者login.cmd   ,前提是你的系統上設置允許查看文件后綴名。具體設置選項,可以打開我的電腦/工具/文件夾選項/查看/   清除“隱藏己知文件類型的擴展名”前面的鈎。
文件內容如下:

echo off
date /t >>D:/temp/login.log
time /t >>D:/temp/login.log
echo   協議    本地IP地址            遠程IP地址             連接狀態 >>D:/temp/login.log
netstat -an -p tcp |find ":3389" >>D:/temp/login.log
start explorer
echo __________________________________________________________________ >>D:/temp/login.log
 


其中find ":3389" 為你的3389端口,如果你改過3389端口請改成相應的端口,后面的andy.log 是記錄文件的名字!可隨意更改(注:要把所有的LOG結尾的文件名改成你命名的文件)。把此文件放到你系統的目錄下,本文以C:/winnt 目錄為例: 

點擊 開始--程序--管理工具--終端服務配置--鏈接 選擇右面欄里的RDP-TCP打開屬性對話框 ,打開環境選項,在初始程序中的 
替代用戶配置文件和客戶端鏈接管理器向導的設置 打對號 
在 用戶登錄時,啟動下列程序里寫入 
c:/winnt/3389.bat 
在 開始位置 中寫入 
c:/winnt/ 
點擊確定 
重啟計算機.
      再次登錄時,查看login.log文件,確定腳本是否運行正常.


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 記錄Windows遠程登錄日志 記錄Windows遠程登錄日志(轉) 記錄所有用戶的登錄和操作日志 ABAP-記錄SAP用戶登錄IP等信息日志 Centos記錄所有用戶登錄和操作的詳細日志 Linux下記錄所有用戶的登錄和操作日志 Linux下記錄所有用戶的登錄和操作日志 在Linux下記錄所有用戶的登錄和操作日志 win7或windows server 2008 R2 被遠程登錄日志記錄 系統日志 win7或win2008 R2 被遠程登錄日志記錄 系統日志
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM