как регистрировать сеансы терминальных служб
У меня есть несколько серверов (виртуальных машин, если это имеет какое-то значение), на которых запущен сервер Windows 2003 и 2008, и несколько пользователей, которые могут войти на любой из этих серверов в любой момент времени. Можно ли каким-то образом записывать события входа / выхода пользователя в файл журнала на серверах Windows 2003 и 2008, чтобы я мог их отслеживать?
Спасибо.
ИЗМЕНИТЬ - я также хотел бы знать, откуда (например, в ip / hostname) приходят соединения
Они уже (или должны быть) зарегистрированы в журнале безопасности.
Событие 551 указывает на выход из системы, тогда как событие 4779 указывает на отключение, а не на правильный выход.
(Все события журнала безопасности.)
Честно говоря, анализ журнала событий для этих событий может быть головной болью, но, по крайней мере, в 2008 году улучшенное средство просмотра журнала значительно упрощает фильтрацию журнала событий, чтобы отображать только те события, которые вам нужны. Тем не менее (учитывая, что у вас есть серверы 2003 года), возможно, стоит потратить время на запуск сценария Powershell, чтобы проанализировать эти значения за вас ... или заплатить за качественное программное обеспечение для анализа / агрегирования журналов.
Ниже приведен пример диалогового окна журнала, которое вы увидели в 2003 году, хотя вы, вероятно, захотите где-нибудь проанализировать и извлечь соответствующую информацию в текстовый формат (что [относительно] легко с PowerShell).
