Jak sprawdzić, kto podłączył się do danego serwera za pomocą RDP.
Za pomocą logów generowanych przez system operacyjny Windows można uzyskać informacje o tym, z jakich adresów IP i jakich użytkowników podłączano się do serwera wirtualnego oraz kiedy to miało miejsce.
Poniższa instrukcja może być również stosowana w wersjach desktopowych systemu Windows.
Przeanalizujmy niektóre najczęściej spotykane kody związane z czasem uruchamiania i zamykania serwera.
1149: Obecność tego kodu oznacza udane uwierzytelnienie użytkownika na serwerze. (Remote Desktop Services: User authentication succeeded)
21: ten kod oznacza udane zalogowanie do systemu, czyli użytkownik zobaczył pulpit. (Remote Desktop Services: Session logon succeeded)
24: to zdarzenie oznacza udane odłączenie od sesji RDP (Remote Desktop Services: Session has been disconnected)
25: oznacza ponowne podłączenie do sesji RDP. (Remote Desktop Services: Session reconnection succeeded)
23: użytkownik nacisnął Logoff i wylogował się z systemu (Remote Desktop Services: Session logoff succeeded )
39: użytkownik samodzielnie odłączył się od sesji RDP (nie tylko zamknął okno RDP). Lub został odłączony przez innego użytkownika lub administratora.
Jak przeglądać te zdarzenia?
Naciśnij Win+R i wpisz eventvwr
W lewej części panelu otwórz «Dzienniki systemu => System»
W kolumnie Event ID zobaczymy listę zdarzeń, które miały miejsce podczas pracy systemu Windows. Dziennik zdarzeń można sortować według identyfikatora zdarzenia.
Aby posortować interesujące nas zdarzenia, z prawej strony wybierzmy «Filtr bieżącego dziennika»
Teraz wprowadź interesujące nas zdarzenia, oddzielone przecinkami, 1149,39,25,24,23,21 i kliknij OK.
Teraz możemy obserwować dziennik zdarzeń związanych z działaniem naszego serwera VPS.
Te zdarzenia można znaleźć w różnych sekcjach. Na przykład:
EventId 1149,4624,4625 - filtrowanie w Windows Logs => Security
EventId 25,24,21,39 - filtrowanie w Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
EventId 23 - Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operationa
Teraz możesz samodzielnie sprawdzić, kto i kiedy logował się przez RDP do Twojego serwera.