iT邦幫忙

0

有辦法在"來源端"電腦的windows event log裡面,找出有沒有成功或者失敗使用ssh/RDP連線登入的紀錄嗎?

  • 分享至 

  • xImage

如題,如果A電腦(來源端)對B電腦(目的端)發起RDP或者SSH的話,我們可以在"來源端"電腦的windows event log裡面判斷是否有連線成功的紀錄嗎?

會這樣問是因為公司有一台專門給外網遠端連線的伺服器,流程如下:

A===>伺服器(RDP或者SSH)====>B(目的端)

所以想要收集此台server使用遠端的所有log,但現在都只能收到"有使用RDP或者SSH"的Log,沒辦法確認,使用RDP或者SSH後"有沒有成功登入目的端電腦",上網找了一下,好像都是要收目的端電腦的log,但目的端電腦數量太多了,log不可能全收

另外希望這類型log是直接在windows event log裡面,而不是個別應用程式的log

---------更新------
RDP方面的話,如果成功的話,來源端電腦會有event ID 1025這筆log,所以我目前假設沒出現就當作失敗,另外我有故意敲錯密碼,發現會有event ID 226這筆log,但不確定其他行為也會造成這筆log產生

SSH的話目前還是無解

好問題
追蹤等正解
裝個 Wireshark ? 通通錄下來
或是 用 windwos 內建的Packet Monitor (Pktmon)
obarisk iT邦研究生 1 級 ‧ 2022-04-22 17:15:09 檢舉
大概是沒辦法。
重寫一個 ssh/RDP client ,這個 client 會寫記錄檔就可以達成你的目的。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
打雜工
iT邦研究生 1 級 ‧ 2022-04-22 10:20:36

1.RDP我之前的經驗可以客製化Windows Event log內容(編輯一下相關事件的xml),我也是上網找的,另外再加登入後啟動的條件做輔助(寫Log、傳訊息隨你)。
2.SSH在Windows上我沒經驗(Linux一樣有Log可以找出來,搭配/etc/bashrc輔助)。

我要發表回答

立即登入回答