Windows’ta Uzak Masaüstü Bağlantı Günlüklerini İzleme ve Analiz Etme
Authoradmin
14 Ekim 202211 mins read
Share
Bu makalede, sanal sunucubulut sunucu veya fiziksel sunucuda işletim sistemi olarak windows server ailesi kullananlar için, Windows’ta RDP bağlantı günlüklerinin nasıl alınacağını ve denetleneceğini açıklayacağız. RDP bağlantı günlükleri, RDS terminal sunucuları yöneticilerinin, belirli bir RDP kullanıcısı oturum açıp oturumu sonlandırdığında sunucuda hangi kullanıcıların oturum açtığı ve kullanıcının hangi cihazdan (DNS adı veya IP adresi) oturum açtığı hakkında bilgi almasına olanak tanır.
Windows Olay Görüntüleyicisinde RDP Bağlantı Olayları
Bir kullanıcı Uzak Masaüstü etkinleştirilmiş veya RDS ana bilgisayarına bağlandığında, bu olaylarla ilgili bilgiler Olay Görüntüleyici günlüklerinde ( eventvwr.msc) depolanır. Olay Görüntüleyici’de yöneticinin ilgisini çekebilecek RDP bağlantısının ana aşamalarını ve ilgili olayları göz önünde bulundurun
Ağ bağlantısı;
kimlik doğrulama;
oturum açma;
Oturum Bağlantısını Kes/Yeniden Bağlan;
oturumu Kapat
Ağ Bağlantısı – kullanıcının RDP istemcisinden bir sunucuya ağ bağlantısı kurulması. EventID 1149 (Remote Desktop Services: User authentication succeeded) ile olaydır. Bu olay bulunursa, kullanıcı kimlik doğrulamasının başarılı olduğu anlamına gelmez. Bu günlük, “Uygulamalar ve Hizmet Günlükleri -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operasyonel” altında bulunur. Bu olay için günlük filtresini etkinleştirin (günlüğe sağ tıklayın -> Geçerli Günlüğü Filtrele -> EventId 1149 ).
PowerShell ile tüm RDP bağlantı denemelerini listeleyebilirsiniz:
$RDPAuths = Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath ''
[xml[]]$xml=$RDPAuths|Foreach{$_.ToXml()}
$EventData = Foreach ($event in $xml.Event)
{ New-Object PSObject -Property @{
TimeCreated = (Get-Date ($event.System.TimeCreated.SystemTime) -Format 'yyyy-MM-dd hh:mm:ss K')
User = $event.UserData.EventXML.Param1
Domain = $event.UserData.EventXML.Param2
Client = $event.UserData.EventXML.Param3
}
} $EventData | FT
Ardından, bu sunucuya yapılan tüm RDP bağlantılarının geçmişini içeren bir olay listesi alacaksınız. Günlükler bir kullanıcı adı, bir etki alanı (bu durumda Ağ Düzeyinde Kimlik Doğrulama kullanılır; NLA devre dışıysa olay açıklaması farklı görünür) ve kullanıcının bilgisayarının IP adresini sağlar.
Kimlik doğrulama , bir RDP kullanıcısının sunucuda başarıyla doğrulanıp doğrulanmadığını gösterir. Günlük, Windows -> Güvenlik altında bulunur. Bu nedenle EventID 4624 (An account was successfully logged on) veya 4625 (olan olaylar ilginizi çekebilirAn account failed to log on.
Lütfen olay açıklamasında LogonType değerine dikkat edin .
LogonType = 10 veya 3 — oturum açma sırasında yeni bir oturum oluşturmak için Uzak Masaüstü hizmeti kullanılmışsa;
LogonType = 7 , bir kullanıcının mevcut RDP oturumuna yeniden bağlandığı anlamına gelir;
Bu durumda, kullanıcı adı Hesap Adı alanında olay açıklamasında, bilgisayar adı İş İstasyonu Adında ve kullanıcı IP’si Kaynak Ağ Adresinde bulunur .
Lütfen LogonID alanının değerini not edin . Bu, kullanıcının diğer etkinliğini izlemeye yardımcı olan benzersiz bir kullanıcı RDP oturum tanımlayıcısıdır. Ancak, bir RDP oturumunun bağlantısı kesilir ve bir kullanıcı buna yeniden bağlanırsa, kullanıcıya yeni bir LogonID atanır (RDP oturumu aynı kalsa da).
Bu PowerShell komutunu kullanarak başarılı RDP kimlik doğrulama olaylarının (EventID 4624) bir listesini alabilirsiniz:
Oturum açma, Windows’ta RDP oturumaçma anlamına gelir. EventID 21 – bu olay, bir kullanıcının kimliği başarıyla doğrulandıktan sonra görünür (Remote Desktop Services: Session logon succeeded). Bu olaylar “Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational” bölümünde yer almaktadır. Gördüğünüz gibi, burada bir kullanıcı RDP oturumunun kimliğini bulabilirsiniz — Oturum Kimliği .
Oturum Bağlantısını Kes/Yeniden Bağlan – oturum bağlantısının kesilmesi ve yeniden bağlanma olaylarının, kullanıcının bağlantısının kesilmesine neden olan şeye bağlı olarak farklı kimlikleri vardır ( RDP oturumları için zaman aşımlarında ayarlanan hareketsizlik nedeniyle bağlantının kesilmesi , Oturumda kullanıcı tarafından Bağlantıyı Kes seçeneği seçilmiş, RDP oturumu başka bir kullanıcı tarafından sonlandırılmıştır) veya bir yönetici vb.). Bu olayları Olay Görüntüleyicide “Uygulamalar ve Hizmet Günlükleri -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operasyonel” altında bulabilirsiniz. Yararlı olabilecek RDP Olay Kimliklerini ele alalım:
EventID – 24 ( Remote Desktop Services: Session has been disconnected) –bir kullanıcının RDP oturumuyla bağlantısı kesildi;
EventID – 25 ( Remote Desktop Services: Session reconnection succeeded) – bir kullanıcı sunucudaki mevcut RDP oturumuna yeniden bağlandı;
EventID – 39 ( Session <A> has been disconnected by session <B>) – bir kullanıcı ilgili menü seçeneğini seçerek (sadece RDP istemci penceresini kapatmak yerine) RDP oturumuyla bağlantısını kesti. Oturum kimlikleri farklıysa, bir kullanıcının bağlantısı başka bir kullanıcı (veya yönetici) tarafından kesilmiştir;
Olay Kimliği – 40 ( Session <A> has been disconnected, reason code <B>). Burada olay açıklamasındaki bağlantı kesme neden kodunu kontrol etmelisiniz. Örneğin:
neden kodu 0 ( No additional information is available), bir kullanıcının RDP istemci penceresini henüz kapattığı anlamına gelir;
neden kodu 5 ( The client’s connection was replaced by another connection), bir kullanıcının önceki RDP oturumuna yeniden bağlandığı anlamına gelir;
neden kodu 11 ( User activity has initiated the disconnect) bir kullanıcı başlat menüsündeki Bağlantıyı Kes düğmesini tıkladı.
Windows’ta EventID 4778 -> Güvenlik günlüğü (Bir oturum bir Window Station’a yeniden bağlandı). Bir kullanıcı bir RDP oturumuna yeniden bağlandı (bir kullanıcıya yeni bir LogonID atanır).
“Windows -> Güvenlik” günlüğünde ( ) EventID 4779 . A session was disconnected from a Window StationBir kullanıcının RDP oturumuyla bağlantısı kesildi.
Oturum kapatma , bir kullanıcı oturumunun sonunu ifade eder. “Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational” altında EventID 23 (ile olay olarakRemote Desktop Services: Session logoff succeeded
Aynı zamanda Güvenlik günlüğünde EventID 4634 ( ) görünür.An account was logged off
Sistem günlüğündeki EventID 9009 ( The Desktop Window Manager has exited with code <X>), bir kullanıcının hem pencere hem de kullanıcının grafik kabuğu sonlandırıldığında RDP oturumundan oturumu kapatmayı başlattığı anlamına gelir.
EventID 4647 — Kullanıcı tarafından başlatılan oturum kapatma
PowerShell ile Uzak Masaüstü Oturum Açma Geçmişini Alma
İşte, terminal RDS sunucusu olay günlüklerinden o gün için tüm RDP bağlantılarının geçmişini listeleyen kısa bir PowerShell betiği. Ortaya çıkan tablo bağlantı süresini, istemcinin IP adresini (DNS bilgisayar adı) ve uzak kullanıcı adını (gerekirse rapora diğer LogonType’ları dahil edebilirsiniz) gösterir.
Bu yöntem, bağımsız bir RDSH sunucusunda RDP bağlantı günlüklerini toplamanıza ve ayrıştırmanıza olanak tanır . RDS grubunda birden çok sunucunuz varsa, her birini bu komut dosyasıyla sorgulayabilir veya Uzak Masaüstü Bağlantı Aracısı rolüne sahip bir yönetim sunucusundan günlükler alabilirsiniz .
RDP bağlantı günlüklerini Olay Görüntüleyici’den bir CSV dosyasına aktarabilirsiniz (bir Excel elektronik tablosunda daha fazla analiz için). Günlüğü Olay Görüntüleyici GUI’sinden (Olay Görüntüleyici günlüklerinin temizlenmediğini varsayarak) veya komut istemi aracılığıyla dışa aktarabilirsiniz:
Kullanıcılarınız Uzak Masaüstü Ağ Geçidi üzerinden kurumsal RDS ana bilgisayarlarına bağlanırsa , EventID 302 ile Microsoft-Windows-TerminalServices-Gateway günlüğündeki kullanıcı bağlantı günlüklerini kontrol edebilirsiniz . Örneğin, aşağıdaki PowerShell betiği, belirtilen kullanıcının RD Ağ Geçidi aracılığıyla bağlantı geçmişini görüntüler:
$rdpusername="b.smith"
$properties = @(
@{n='User';e={$_.Properties[0].Value}},
@{n='Source IP Adress';e={$_.Properties[1].Value}},
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='Target RDP host';e={$_.Properties[3].Value}}
)
(Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-Gateway/Operational';ID='302'} | Select-Object $properties) -match $rdpusername
Microsoft-Windows-TerminalServices-Gateway olay günlüğünde aşağıdaki RD Ağ Geçidi kullanıcı bağlantısı olaylarını kontrol edebilirsiniz:
300 — CİHAZ istemci bilgisayarındaki NAME kullanıcısı, kaynak yetkilendirme ilkesi gereksinimlerini karşıladı ve bu nedenle RDPHOST kaynağına bağlanma yetkisine sahipti;
303 — DEVICE istemci bilgisayarındaki NAME kullanıcısının şu ağ kaynağıyla bağlantısı kesildi: RDPHOST. Kullanıcının bağlantısı kesilmeden önce, istemci X bayt aktardı ve X bayt aldı. İstemci oturumu süresi X saniyeydi.
Şu komutla RDS ana makinenizde mevcut uzak oturumların listesini görüntüleyebilirsiniz:
qwinsta
Komut, oturum kimliğini, KULLANICI ADI ve oturum durumunu (Etkin/Bağlantıyı Kes) döndürür. Bu komut, gölge Uzak Masaüstü bağlantılarını kullanırken kullanıcının RDP oturum kimliğini almanız gerektiğinde kullanışlıdır .
Belirli RDP oturumunda çalışan işlemlerin listesini görüntüleyebilirsiniz (oturum kimliği belirtilir):
qprocess /id:5
Windows’ta Giden RDP Bağlantı Günlükleri
Ayrıca, giden RDP bağlantı günlüklerini istemci tarafında da görüntüleyebilirsiniz. Aşağıdaki olay günlüğünde bulunurlar: Uygulama ve Hizmet Günlükleri -> Microsoft -> Windows -> TerminalServices-ClientActiveXCore -> Microsoft-Windows-TerminalServices-RDPClient -> Operasyonel.
Örneğin, bir kullanıcı uzak bir Windows Server RDS ana bilgisayarına veya RDP etkinleştirilmiş bir Windows 10/11 bilgisayarına bağlandığında EventID 1102 oluşur (masaüstü Windows sürümleri ayrıca birden çok eşzamanlı RDP bağlantısını destekler ).
İstemci, 192.168.13.201 sunucusuna çoklu aktarım bağlantısı başlattı.
Aşağıdaki RDP komut dosyası, geçerli bilgisayardaki RDP istemci bağlantılarının geçmişini görüntüler:
Komut dosyası, bu bilgisayarda RDP bağlantılarını başlatan kullanıcıların SID’lerini ve ayrıca kullanıcıların bağlandığı Uzak Masaüstü ana bilgisayarlarının DNS adlarını/IP adreslerini döndürür. SID’leri aşağıdaki gibi kullanıcı adlarına dönüştürebilirsiniz .
Windows’ta Uzak Masaüstü Bağlantı Günlüklerini İzleme ve Analiz Etme
Bu makalede, sanal sunucu bulut sunucu veya fiziksel sunucuda işletim sistemi olarak windows server ailesi kullananlar için, Windows’ta RDP bağlantı günlüklerinin nasıl alınacağını ve denetleneceğini açıklayacağız. RDP bağlantı günlükleri, RDS terminal sunucuları yöneticilerinin, belirli bir RDP kullanıcısı oturum açıp oturumu sonlandırdığında sunucuda hangi kullanıcıların oturum açtığı ve kullanıcının hangi cihazdan (DNS adı veya IP adresi) oturum açtığı hakkında bilgi almasına olanak tanır.
Makale İçeriği
Windows Olay Görüntüleyicisinde RDP Bağlantı Olayları
Bir kullanıcı Uzak Masaüstü etkinleştirilmiş veya RDS ana bilgisayarına bağlandığında, bu olaylarla ilgili bilgiler Olay Görüntüleyici günlüklerinde (
eventvwr.msc) depolanır. Olay Görüntüleyici’de yöneticinin ilgisini çekebilecek RDP bağlantısının ana aşamalarını ve ilgili olayları göz önünde bulundurunAğ Bağlantısı – kullanıcının RDP istemcisinden bir sunucuya ağ bağlantısı kurulması. EventID 1149 (
Remote Desktop Services: User authentication succeeded) ile olaydır. Bu olay bulunursa, kullanıcı kimlik doğrulamasının başarılı olduğu anlamına gelmez. Bu günlük, “Uygulamalar ve Hizmet Günlükleri -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operasyonel” altında bulunur. Bu olay için günlük filtresini etkinleştirin (günlüğe sağ tıklayın -> Geçerli Günlüğü Filtrele -> EventId 1149 ).PowerShell ile tüm RDP bağlantı denemelerini listeleyebilirsiniz:
$RDPAuths = Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath ''
[xml[]]$xml=$RDPAuths|Foreach{$_.ToXml()}
$EventData = Foreach ($event in $xml.Event)
{ New-Object PSObject -Property @{
TimeCreated = (Get-Date ($event.System.TimeCreated.SystemTime) -Format 'yyyy-MM-dd hh:mm:ss K')
User = $event.UserData.EventXML.Param1
Domain = $event.UserData.EventXML.Param2
Client = $event.UserData.EventXML.Param3
}
} $EventData | FT
Ardından, bu sunucuya yapılan tüm RDP bağlantılarının geçmişini içeren bir olay listesi alacaksınız. Günlükler bir kullanıcı adı, bir etki alanı (bu durumda Ağ Düzeyinde Kimlik Doğrulama kullanılır; NLA devre dışıysa olay açıklaması farklı görünür) ve kullanıcının bilgisayarının IP adresini sağlar.
Kimlik doğrulama , bir RDP kullanıcısının sunucuda başarıyla doğrulanıp doğrulanmadığını gösterir. Günlük, Windows -> Güvenlik altında bulunur. Bu nedenle EventID 4624 (
An account was successfully logged on) veya 4625 (olan olaylar ilginizi çekebilirAn account failed to log on.Lütfen olay açıklamasında LogonType değerine dikkat edin .
Bu durumda, kullanıcı adı Hesap Adı alanında olay açıklamasında, bilgisayar adı İş İstasyonu Adında ve kullanıcı IP’si Kaynak Ağ Adresinde bulunur .
Bu PowerShell komutunu kullanarak başarılı RDP kimlik doğrulama olaylarının (EventID 4624) bir listesini alabilirsiniz:
Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView
Oturum açma, Windows’ta RDP oturumaçma anlamına gelir. EventID 21 – bu olay, bir kullanıcının kimliği başarıyla doğrulandıktan sonra görünür (
Remote Desktop Services: Session logon succeeded). Bu olaylar “Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational” bölümünde yer almaktadır. Gördüğünüz gibi, burada bir kullanıcı RDP oturumunun kimliğini bulabilirsiniz — Oturum Kimliği .EventID – 21 (
Remote Desktop Services: Shell start notification received), Explorer kabuğunun başarıyla başlatıldığını gösterir (Windows masaüstü, kullanıcının RDP oturumunda görünür).Oturum Bağlantısını Kes/Yeniden Bağlan – oturum bağlantısının kesilmesi ve yeniden bağlanma olaylarının, kullanıcının bağlantısının kesilmesine neden olan şeye bağlı olarak farklı kimlikleri vardır ( RDP oturumları için zaman aşımlarında ayarlanan hareketsizlik nedeniyle bağlantının kesilmesi , Oturumda kullanıcı tarafından Bağlantıyı Kes seçeneği seçilmiş, RDP oturumu başka bir kullanıcı tarafından sonlandırılmıştır) veya bir yönetici vb.). Bu olayları Olay Görüntüleyicide “Uygulamalar ve Hizmet Günlükleri -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operasyonel” altında bulabilirsiniz. Yararlı olabilecek RDP Olay Kimliklerini ele alalım:
Remote Desktop Services: Session has been disconnected) –bir kullanıcının RDP oturumuyla bağlantısı kesildi;Remote Desktop Services: Session reconnection succeeded) – bir kullanıcı sunucudaki mevcut RDP oturumuna yeniden bağlandı;Session <A> has been disconnected by session <B>) – bir kullanıcı ilgili menü seçeneğini seçerek (sadece RDP istemci penceresini kapatmak yerine) RDP oturumuyla bağlantısını kesti. Oturum kimlikleri farklıysa, bir kullanıcının bağlantısı başka bir kullanıcı (veya yönetici) tarafından kesilmiştir;Session <A> has been disconnected, reason code <B>). Burada olay açıklamasındaki bağlantı kesme neden kodunu kontrol etmelisiniz. Örneğin:No additional information is available), bir kullanıcının RDP istemci penceresini henüz kapattığı anlamına gelir;The client’s connection was replaced by another connection), bir kullanıcının önceki RDP oturumuna yeniden bağlandığı anlamına gelir;User activity has initiated the disconnect) bir kullanıcı başlat menüsündeki Bağlantıyı Kes düğmesini tıkladı.Windows’ta EventID 4778 -> Güvenlik günlüğü (Bir oturum bir Window Station’a yeniden bağlandı). Bir kullanıcı bir RDP oturumuna yeniden bağlandı (bir kullanıcıya yeni bir LogonID atanır).
“Windows -> Güvenlik” günlüğünde ( ) EventID 4779 .
A session was disconnected from a Window StationBir kullanıcının RDP oturumuyla bağlantısı kesildi.Oturum kapatma , bir kullanıcı oturumunun sonunu ifade eder. “Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational” altında EventID 23 (ile olay olarak
Remote Desktop Services: Session logoff succeededAynı zamanda Güvenlik günlüğünde EventID 4634 ( ) görünür.
An account was logged offSistem günlüğündeki EventID 9009 (
The Desktop Window Manager has exited with code <X>), bir kullanıcının hem pencere hem de kullanıcının grafik kabuğu sonlandırıldığında RDP oturumundan oturumu kapatmayı başlattığı anlamına gelir.EventID 4647 — Kullanıcı tarafından başlatılan oturum kapatma
PowerShell ile Uzak Masaüstü Oturum Açma Geçmişini Alma
İşte, terminal RDS sunucusu olay günlüklerinden o gün için tüm RDP bağlantılarının geçmişini listeleyen kısa bir PowerShell betiği. Ortaya çıkan tablo bağlantı süresini, istemcinin IP adresini (DNS bilgisayar adı) ve uzak kullanıcı adını (gerekirse rapora diğer LogonType’ları dahil edebilirsiniz) gösterir.
Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match 'logon type:\s+(10)\s'}| %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*\s\sAccount Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*\s\sAccount Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive - local logon'}
3 {'Network connection to shared folder)'}
4 {'Batch'}
5 {'Service'}
7 {'Unlock (after screensaver)'}
8 {'NetworkCleartext'}
9 {'NewCredentials (local impersonation process under existing connection)'}
10 {'RDP'}
11 {'CachedInteractive'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Bu yöntem, bağımsız bir RDSH sunucusunda RDP bağlantı günlüklerini toplamanıza ve ayrıştırmanıza olanak tanır . RDS grubunda birden çok sunucunuz varsa, her birini bu komut dosyasıyla sorgulayabilir veya Uzak Masaüstü Bağlantı Aracısı rolüne sahip bir yönetim sunucusundan günlükler alabilirsiniz .
RDP bağlantı günlüklerini Olay Görüntüleyici’den bir CSV dosyasına aktarabilirsiniz (bir Excel elektronik tablosunda daha fazla analiz için). Günlüğü Olay Görüntüleyici GUI’sinden (Olay Görüntüleyici günlüklerinin temizlenmediğini varsayarak) veya komut istemi aracılığıyla dışa aktarabilirsiniz:
WEVTUtil query-events Security > c:\ps\rdp_security_log.txt
Veya PowerShell ile:
get-winevent -logname "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" | Export-Csv c:\ps\rdp_connection_log.txt -Encoding UTF8
Kullanıcılarınız Uzak Masaüstü Ağ Geçidi üzerinden kurumsal RDS ana bilgisayarlarına bağlanırsa , EventID 302 ile Microsoft-Windows-TerminalServices-Gateway günlüğündeki kullanıcı bağlantı günlüklerini kontrol edebilirsiniz . Örneğin, aşağıdaki PowerShell betiği, belirtilen kullanıcının RD Ağ Geçidi aracılığıyla bağlantı geçmişini görüntüler:
$rdpusername="b.smith"
$properties = @(
@{n='User';e={$_.Properties[0].Value}},
@{n='Source IP Adress';e={$_.Properties[1].Value}},
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='Target RDP host';e={$_.Properties[3].Value}}
)
(Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-Gateway/Operational';ID='302'} | Select-Object $properties) -match $rdpusername
Microsoft-Windows-TerminalServices-Gateway olay günlüğünde aşağıdaki RD Ağ Geçidi kullanıcı bağlantısı olaylarını kontrol edebilirsiniz:
Şu komutla RDS ana makinenizde mevcut uzak oturumların listesini görüntüleyebilirsiniz:
qwinsta
Komut, oturum kimliğini, KULLANICI ADI ve oturum durumunu (Etkin/Bağlantıyı Kes) döndürür. Bu komut, gölge Uzak Masaüstü bağlantılarını kullanırken kullanıcının RDP oturum kimliğini almanız gerektiğinde kullanışlıdır .
Belirli RDP oturumunda çalışan işlemlerin listesini görüntüleyebilirsiniz (oturum kimliği belirtilir):
qprocess /id:5Windows’ta Giden RDP Bağlantı Günlükleri
Ayrıca, giden RDP bağlantı günlüklerini istemci tarafında da görüntüleyebilirsiniz. Aşağıdaki olay günlüğünde bulunurlar: Uygulama ve Hizmet Günlükleri -> Microsoft -> Windows -> TerminalServices-ClientActiveXCore -> Microsoft-Windows-TerminalServices-RDPClient -> Operasyonel.
Örneğin, bir kullanıcı uzak bir Windows Server RDS ana bilgisayarına veya RDP etkinleştirilmiş bir Windows 10/11 bilgisayarına bağlandığında EventID 1102 oluşur (masaüstü Windows sürümleri ayrıca birden çok eşzamanlı RDP bağlantısını destekler ).
Aşağıdaki RDP komut dosyası, geçerli bilgisayardaki RDP istemci bağlantılarının geçmişini görüntüler:
$properties = @(@{n='TimeStamp';e={$_.TimeCreated}}
@{n='LocalUser';e={$_.UserID}}
@{n='Target RDP host';e={$_.Properties[1].Value}}
)
Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-RDPClient/Operational';ID='1102'} | Select-Object $properties
Komut dosyası, bu bilgisayarda RDP bağlantılarını başlatan kullanıcıların SID’lerini ve ayrıca kullanıcıların bağlandığı Uzak Masaüstü ana bilgisayarlarının DNS adlarını/IP adreslerini döndürür. SID’leri aşağıdaki gibi kullanıcı adlarına dönüştürebilirsiniz .