WindowsServer2008のデフォルトでは、イベントログの「セキュリティ」にリモートデスクトップの接続情報が出力されている。
GUIのイベントログ(ビューア)でフィルターできる項目は少ないため、Xpath形式(XML)でフィルタリングすると見やすい。
以下は、サーバーから取得してきたセキュリティのイベントログファイル(evtx)を、作業用PCに取込んだ場合の例。
ファイルパスは手打ちなのでそのままは使えないかも。
<QueryList>
<Query Id="0" Path="file://C:\tenp\Server.evtx">
<Select Path="file://C:\tenp\Server.evtx">*[System[(EventID=4624) or (EventID=4634)] and EventData[Data[@Name='LogonType']='10'] ]</Select>
</Query>
</QueryList>
イベントIDが、「4624」(開始)、または「4634」(終了)で、
ログオンタイプ(Logontpe)が「10」(ターミナルサービルやリモートデスクトップ)で絞っている。
まだちょっと片手落ちな状態なので味付けが必要。
PowerShellでも勉強するかなー
0 件のコメント:
コメントを投稿