есть ли способ получить журнал всех пользователей, получивших удаленный доступ к серверу Windows 2008 R2
нам нужно знать IP их машины, с какого времени и до какого времени они обращались к серверу?
Есть несколько способов: 1. Использование бесплатных программ. http://technet.microsoft.com/en-us/magazine/2005.05.utilityspotlight.aspx также отслеживать всю информацию для входа в домены Active Directory
2. С помощью платного программного обеспечения для мониторинга: terminalserviceslog.com
3. Использование сценария входа в систему Вы можете добавить несколько строк в сценарий входа и выхода, чтобы что-то записать в файл журнала общего ресурса сервера.
@echo off echo [% date%% time%] >> \ server \ share \ logtime.log echo% username% log on% computername% в домен:% userdomain% >> \ server \ share \ logon.log
Эти события записываются в журнал событий безопасности. Идентификатор события 4846. События выхода - это идентификатор 4634. Вы можете соотнести события входа в систему с событиями выхода из системы с помощью атрибута LogonGUID для обоих событий.
Windows не предоставляет способ создания списка с их помощью, вам придется что-то написать или что-то купить, чтобы это сделать. wevtutil предоставляет способ запроса журнала событий и выгрузки его в текстовый файл для обработки с помощью сценария.