Просмотр журнала подключений RDP
Данный скрипт написан на языке PowerShell и используется для просмотра подключений к серверу через RDP.
Вот инструкция по запуску скрипта в PowerShell:
-
- 1.Откройте PowerShell на вашем сервере.Для этого нажмите правой кнопкой мыши на значок “Пуск” и выберите “Windows PowerShell” в контекстном меню.
-
- 2.Скопируйте и вставьте скрипт в окно PowerShell.
-
- 3.Нажмите Enter, чтобы запустить скрипт.
Скрипт должен вывести список всех подключений к серверу через RDP со следующей информацией: время подключения, имя пользователя, домен и IP-адрес клиента.
$RDPAuths = Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath '<select>*[System[EventID=1149]]</select>' [xml[]]$xml=$RDPAuths|Foreach{$_.ToXml()} $EventData = Foreach ($event in $xml.Event) { New-Object PSObject -Property @{ TimeCreated = (Get-Date ($event.System.TimeCreated.SystemTime) -Format 'yyyy-MM-dd hh:mm:ss K') User = $event.UserData.EventXML.Param1 Domain = $event.UserData.EventXML.Param2 Client = $event.UserData.EventXML.Param3 } } $EventData | FT |
Обратите внимание, что эта информация может быть недоступна, если логи безопасности были очищены или отключены.