opened image

როგორ შევხედოთ RDP კავშირის ლოგები Windows Server 2016, 2019-ში

როგორ გაიგოთ, ვინ დაერევა რომელიმე სერვერზე RDP-ით. 



Windows ოპერაციული სისტემის ლოგების გამოყენებით შეგიძლიათ მიიღოთ ინფორმაცია იმ IP-ებიდან და რომელი მომხმარებლები დაერევა ვირტუალურ სერვერზე, როდესაც ისინი ამას აკეთებენ. 

ქვემოთ მოცემული ინსტრუქცია იგივეა დესკტოპ ვერსიებზე გამოყენებული.

განვიხილოთ ზოგიერთი ყველაზე ხშირად გამოყენებული კოდები, რომლებიც არის დაკავებული სერვერის გაშვებისა და დასრულების დროს.

1149:  ამ კოდის არსებობა ნიშნავს მომხმარებლის წარმოების წარმოების წარმოების წარმოებას სერვერზე. (Remote Desktop Services: User authentication succeeded) 
21: ამ კოდის არსებობა ნიშნავს სისტემაში შესვლის წარმოებას, ანუ მომხმარებელმა ხელმისაწვდომი სამუშაო დაფას დაიხურა. (Remote Desktop Services: Session logon succeeded)
24: ეს მოვლენა ნიშნავს RDP-დან წვდომის წაშლას (Remote Desktop Services: Session has been disconnected)
25: ნიშნავს RDP სესიის ხელახლა დაკავებას. (Remote Desktop Services: Session reconnection succeeded) 
23: მომხმარებელმა დააჭირა Logoff-ს და გამოსულია სისტემიდან (Remote Desktop Services: Session logoff succeeded )
39: მომხმარებელმა პირადად გამორთულია RDP სესია (არ მხოლოდ RDP ფანჯარას დახურულია). ან მას გამორთა სხვა მომხმარებელი ან ადმინისტრატორი.


 

როგორ ნახოთ მონაცემები?

 

დააჭირეთ Win+R და შეიყვანეთ eventvwr

 

 


მარცხნივ პანელში გახსენით «ჟურნალები Windows => სისტემა»

 

 

 

 


მარჯვნივ კოლონკაში Event ID ჩვენ ვხედავთ სისტემის მუშაობის დროს მოხდენილ მოვლენებს. მოვლენების ჟურნალს შეგიძლიათ დაალაგოთ მოხდენილი მოვლენების იდენტიფიკატორის მიხედვით.

საჭიროა სასურველი მოვლენების გაფილტვრად, მარჯვნივი მხარეს, აირჩიოთ «მიმდინარე ჟურნალის ფილტრი»

 

 

 

 


ახლა შეიყვანეთ სასურველი მოვლენები, მძიმეებით, 1149,39,25,24,23,21 და დააჭირეთ კარგი.


 

ახლა შეგიძლიათ თქვენი VPS სერვერის დასრულების ჟურნალის მოხელეთა ნახვა.

მონაცემებს შეგიძლიათ ნახოთ სხვადასხვა სექციებში. მაგალითად:

EventId 1149,4624,4625 - ფილტრაცია Windows Logs => Security

EventId 25,24,21,39 - ფილტრაცია Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

EventId 23 - Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operationa

ახლა თქვენ შეგიძლიათ თავიდან შეამოწმოთ, ვინ და როდის შემოსულია RDP-ით თქვენს სერვერზე.