কয়েকটি ব্যবহারকারী আরডিপির মাধ্যমে একটি সার্ভারে লগইন করেছেন।
আমি ক্রিয়াকলাপটি নিরীক্ষণ করতে চাই , তবে এটি আমার উইন্ডোজ সার্ভারের রাস্তাটি ভালভাবে জানে না।
আমি আশা করছি যে আমি পরামর্শ করতে পারি এমন কোনও ধরণের লগ রয়েছে।
কোন ধারনা? :)
কয়েকটি ব্যবহারকারী আরডিপির মাধ্যমে একটি সার্ভারে লগইন করেছেন।
আমি ক্রিয়াকলাপটি নিরীক্ষণ করতে চাই , তবে এটি আমার উইন্ডোজ সার্ভারের রাস্তাটি ভালভাবে জানে না।
আমি আশা করছি যে আমি পরামর্শ করতে পারি এমন কোনও ধরণের লগ রয়েছে।
কোন ধারনা? :)
উত্তর:
কয়েকটি বিকল্প ..
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminবাOperationalআপনি সেশন তালিকা দেখতে পাবেন। তারিখ / টাইমস্ট্যাম্পড / আইপি / ব্যবহারকারীর নাম ইত্যাদি আপনিও এর নিচে দেখতে পারেনApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
পাওয়ারশেলের একটি সমাধান এখানে:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
আমরা ফিল্টার করছি সম্পর্কিত ইভেন্টআইডস সম্পর্কিত তথ্য এখানে পাওয়া যাবে:
আরডিপি সংযোগের জন্য আপনি লগটাইপ 10 এ বিশেষভাবে আগ্রহী; RemoteInteractive; অন্যান্য ধরণের ব্যবহারের ক্ষেত্রে আমি ফিল্টার করি নি; তবে প্রয়োজনে অন্য ফিল্টার যুক্ত করা তুচ্ছ।
আপনার এই লগগুলি তৈরি হয়েছে তাও নিশ্চিত করতে হবে; এটা করতে:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogonকরতেSuccessসুরক্ষা লগে লগন প্রকার 10 (রিমোট ডেস্কটপ) অনুসন্ধান করা বা টার্মিনাল সার্ভিসেস চ্যানেলের ইভেন্ট লগগুলি সন্ধান করা ইভেন্ট ইভেন্ট লগগুলির মধ্যে ঝুঁটি ব্যতীত আপনাকে তৃতীয় পক্ষের সফ্টওয়্যার ব্যবহার করতে হবে।
উপরে উল্লিখিত টিএসএল ছাড়াও, এখানে আমি অতীতে সাফল্যের সাথে আরও একটি ব্যবহার করেছি - রিমোট ডেস্কটপ রিপোর্টার
http://www.rdpsoft.com/products
যদি আপনি তৃতীয় পক্ষ যান, নিশ্চিত হয়ে নিন যে আপনি কয়েকটি বিক্রেতাকে মূল্যায়ন করেছেন এবং প্রতিটি বিক্রেতার কাছ থেকে মূল্য কোটস পেয়েছেন ... দামের মধ্যে রয়েছে বিশাল তাত্পর্য - কিছু নামী ব্যবহারকারীর প্রতি কিছু বিক্রয়কারীর দাম, কিছু সহকারী ব্যবহারকারী প্রতি, এবং কিছু কেবল সার্ভারের মাধ্যমে। সমাধানটি তার নিজস্ব ডাটাবেস বা এসকিউএল এর একটি হালকা সংস্করণের সাথে আসে তাও নিশ্চিত করুন - অন্যথায় আপনি ডাটাবেস লাইসেন্সের ব্যয়ও পেয়ে যাবেন।
আমি এই পৃষ্ঠায় বেশিরভাগ নিখরচায় / সাশ্রয়ী মূল্যের উত্তরের পাশাপাশি অন্য কোথাও অনুসন্ধান করেছি (কয়েক দিনের জন্য, অ্যান্ডি বিচলার দ্বারা বর্ণিত ইভেন্ট লগগুলি সহ) এবং এখানে একটি বিকল্প ফ্রি আরডিপি পর্যবেক্ষণ এবং অবরুদ্ধকরণ সরঞ্জাম রয়েছে:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
আমি এটির ব্যাপকভাবে পরীক্ষা করে দেখিনি, তবে এটি ডাউনলোড ও স্ক্যান করেছি (পোর্টেবল সংস্করণ) এবং যদিও ইউআইটি কিছুটা কুরুচিপূর্ণ দিক থেকে সরে গেছে তবে এটি 2012 অবধি কোনও ইস্যু ছাড়াই আর 2 সার্ভারে কাজ করছে। এটি "হ্যান্ড হ্যান্ড", তবে একজন অ-বুদ্ধিজীবী এবং ইভেন্টের লগগুলি বোঝার জন্য প্রহার করে।
Ts_ block এছাড়াও রয়েছে যা আপনাকে স্বয়ংক্রিয়ভাবে আপনার সার্ভারের আরডিপি (যেটি আমি অনুমান করছি যে আরডিপি প্রচেষ্টাতে কিছু লগ আছে) জোর করে এমন আইপিগুলি ব্লক করতে দেয়:
https://github.com/EvanAnderson/ts_block
আপনি যে লিঙ্কটিতে দেখতে পাচ্ছেন, লেখক হ'ল সার্ভারফল্ট ব্যবহারকারী। আমি এটি পরীক্ষিত করিনি কারণ এটি মূলত একটি vbscript যা ব্যবহারের আগে আমার বিচ্ছিন্ন হওয়া দরকার। তবে, এটি আশাব্যঞ্জক বলে মনে হচ্ছে।
উপরে অ্যান্ডি দ্বারা উল্লিখিত ইভেন্ট লগগুলির সাথে সমস্যাটি হ'ল তারা খুব স্পষ্ট বা বর্ণনামূলক নয় যে কে কী করছে ... কমপক্ষে দূষিত অর্থে। আপনি আইপি অ্যাড্রেসগুলি খুঁজে পেতে পারেন, তবে তারপরে এগুলি সমস্ত ব্যর্থ লগইন চেষ্টার সাথে সম্পর্কিত কিনা তা বলা শক্ত। সুতরাং, আপনি যদি সার্ভারটি ইন্টারনেটের মুখোমুখি হন এবং সুরক্ষা সম্পর্কে আপনার কোনও উদ্বেগ থাকে তবে অন্তর্নিহিত লগগুলি ছাড়া অন্য একটি সরঞ্জাম প্রায় বাধ্যতামূলক বলে মনে হয়।
ইভেন্টলগে -
অ্যাপ্লিকেশন এবং পরিষেবাদি লগগুলি \ মাইক্রোসফ্ট, উইন্ডোজ \ রিমোট ডেস্কটপ পরিষেবাগুলি - rdpcorets
আরডিপি এবং আইপি ঠিকানার সাথে সংযোগ করার সমস্ত প্রচেষ্টা রয়েছে
আমি যখন কয়েক বছর আগে প্রশাসক হিসাবে কাজ করছিলাম তখন আপনার মতো ইস্যুটি প্রকাশ করা হয়েছিল, তখন আমি আরডিপির মাধ্যমে সংযুক্ত প্রত্যেককে এবং তারা কখন সক্রিয় বা নিষ্ক্রিয় ছিলেন ঠিক তা পর্যবেক্ষণ করতে চেয়েছিলাম।
আমি কয়েকটি পণ্য মূল্যায়ন করেছি তবে সিদ্ধান্ত নিয়েছি যে এগুলির কোনওটিই আমার পক্ষে যথেষ্ট ভাল নয় তাই আমি নিজের তৈরি করেছি (সমস্যাটি ছিল ডেটা সংগ্রহ করার জন্য কোনও একরকম এজেন্ট বা পরিষেবা ছিল এবং আমার নির্মিত সমাধানটি টিএসআইপি ব্যবহার করে দূরবর্তী থেকে রিমোট সার্ভার এবং কোনও এজেন্ট ছাড়াই ডেটা উত্তোলন)। পণ্যটিকে এখন সিসকিট (বা জিম উল্লিখিত হিসাবে টিএসএল) বলা হয় এবং এটি বিশ্বজুড়ে ব্যাপকভাবে ব্যবহৃত হয়: ডি
আপনি এখানে ব্যবহারকারীর ক্রিয়াকলাপ পরীক্ষা করতে পারেন