![]() |
Лог удаленного управления
Win 2008r2, терминальный сервер. Админ подключается к пользователям посредством "удаленного управления" диспетчера задач. Вопрос: где-нибудь логируются эти подключения?
Нашел лишь в системном журнале запись вида: Цитата:
Источник: Application Popup Дата: 12.07.2012 14:47:46 Код события: 26 Категория задачи:Отсутствует Уровень: Сведения Ключевые слова:Классический Пользователь: Н/Д Компьютер: server_name.domen.local Описание: Всплывающее окно приложения: Запрос удаленного управления : domen\user_name запрашивает удаленное управление вашим сеансом. Принять этот запрос? Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Application Popup" /> <EventID Qualifiers="16384">26</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2012-07-12T10:47:46.000000000Z" /> <EventRecordID>473704</EventRecordID> <Channel>System</Channel> <Computer>server_name.domen.local</Computer> <Security /> </System> <EventData> <Data>Запрос удаленного управления</Data> <Data> domen\user_name запрашивает удаленное управление вашим сеансом. Принять этот запрос?</Data> </EventData> </Event> Из этой записи можно лишь почерпнуть, что была попытка запросить удаленное управление. Была ли она успешна или нет, к кому производилось подключение, когда было отключение - здесь не видно. Заранее спасибо |
Добрый день. В 2008R2 есть оснастка "Конфигурация служб терминалов" там есть посредине окно, "Подключения" внизу "RDP-TCP" выберете сво-во этого объекта и там будет вкладка Безопасноть далее кнопка Дополнительно, и вкладка аудит, вы можете выбрать конкретного пользователя и на него включить аудит, и там выбрать соответствующие параметры для аудита, мне кажется что вам это поможет. Дальше с помощью скрипта разбирать логи. Хочу еще добавить что этот аудит будет работать если в политиках включен и правильно настроен аудит.
|
Время: 11:54. |
Время: 11:54.
© OSzone.net 2001-