如題,如果A電腦(來源端)對B電腦(目的端)發起RDP或者SSH的話,我們可以在"來源端"電腦的windows event log裡面判斷是否有連線成功的紀錄嗎?
會這樣問是因為公司有一台專門給外網遠端連線的伺服器,流程如下:
A===>伺服器(RDP或者SSH)====>B(目的端)
所以想要收集此台server使用遠端的所有log,但現在都只能收到"有使用RDP或者SSH"的Log,沒辦法確認,使用RDP或者SSH後"有沒有成功登入目的端電腦",上網找了一下,好像都是要收目的端電腦的log,但目的端電腦數量太多了,log不可能全收
另外希望這類型log是直接在windows event log裡面,而不是個別應用程式的log
---------更新------
RDP方面的話,如果成功的話,來源端電腦會有event ID 1025這筆log,所以我目前假設沒出現就當作失敗,另外我有故意敲錯密碼,發現會有event ID 226這筆log,但不確定其他行為也會造成這筆log產生
SSH的話目前還是無解
1.RDP我之前的經驗可以客製化Windows Event log內容(編輯一下相關事件的xml),我也是上網找的,另外再加登入後啟動的條件做輔助(寫Log、傳訊息隨你)。
2.SSH在Windows上我沒經驗(Linux一樣有Log可以找出來,搭配/etc/bashrc輔助)。