Як дізнатися, хто підключався до певного сервера за допомогою RDP.
За допомогою логів, які записує ОС Windows, можна отримати інформацію про те, з яких IP-адрес і які користувачі підключалися до віртуального сервера, і коли вони це робили.
Наведена нижче інструкція також може бути використана на робочих версіях Windows.
Розглянемо деякі найпоширеніші коди, пов'язані з часом запуску та завершення роботи сервера.
1149: Присутність цього коду свідчить про успішну аутентифікацію користувача на сервері. (Remote Desktop Services: User authentication succeeded)
21: цей код свідчить про успішний вхід в систему, тобто користувач побачив вікно робочого столу. (Remote Desktop Services: Session logon succeeded)
24: ця подія свідчить про успішне відключення від RDP (Remote Desktop Services: Session has been disconnected)
25: свідчить про повторне підключення до RDP-сесії. (Remote Desktop Services: Session reconnection succeeded)
23: користувач натиснув Logoff і вийшов з системи (Remote Desktop Services: Session logoff succeeded )
39: користувач особисто відключився від RDP-сесії (не просто закрив вікно RDP). Або його відключив інший користувач або адміністратор.
Як переглянути дані подій?
Натисніть Win+R і введіть eventvwr
У лівій частині панелі відкрийте «Журнали Windows => Система»
У колонці Event ID ми побачимо список подій, що сталися під час роботи Windows. Журнал подій можна сортувати за ідентифікатором події.
Щоб відсортувати потрібні нам події, з правого боку, виберемо «Фільтр поточного журналу»
Тепер введіть потрібні нам події, через кому, 1149,39,25,24,23,21 і натисніть Ок.
Тепер ми можемо спостерігати журнал подій з завершенням роботи нашого сервера VPS.
Дані події можна переглянути в різних розділах. Наприклад:
EventId 1149,4624,4625 - фільтруємо в Windows Logs => Security
EventId 25,24,21,39 - фільтруємо в Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
EventId 23 - Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operationa
Тепер ви можете самостійно перевірити, хто і коли заходив за допомогою RDP на ваш сервер.