谈终端方式登录的日志记录
发布时间:2020-12-14 00:25:48 所属栏目:Windows 来源:网络整理
导读:最近看到一篇文章《分析进入Win2000后留下的足迹》,这文章里的关于纪录终端服务登录服务器日志 纪录的问题引发了几个朋友的讨论,究竟能不能纪录日志?何种情况下才能纪录日志? 顺手做了以下测试 这里先交待一下: 我的服务器名:ABUSERVER 我自己客户机名
最近看到一篇文章《分析进入Win2000后留下的足迹》,这文章里的关于纪录终端服务登录服务器日志 纪录的问题引发了几个朋友的讨论,究竟能不能纪录日志?何种情况下才能纪录日志? 顺手做了以下测试 这里先交待一下: 我的服务器名:ABUSERVER 我自己客户机名:ABUPC13 我自己客户机的IP:192.168.0.13 我登录所用的帐号:Administrator 本地安全策略里面开启:审核登录事件 测试一 用终端服务的方式登录服务器,并正常注销退出,查看安全审核的日志记录如下: 登录成功: 用户名: Administrator 域: ABUSERVER 登录 ID: (0x0,0x1D0B52) 登录类型: 2 登录过程: User32 身份验证程序包: Negotiate 工作站名: ABUSERVER 用户注销: 用户名: Administrator 域: ABUSERVER 登录 ID: (0x0,0x1D0B52) 登录类型: 2 很奇怪吧,因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时 纪录的工作站名: ABUSERVER (这不是服务器的名字嘛) 测试二: 正常登录上服务器以后,选择断开,临时中断当前会话,然后再次使用客户端连接上服务器,在安全日志里 出现了以下记录: 会话从 winstation 中断连接: 用户名: administrator 域: ABUSERVER 登录 ID: (0x0,0x1D0B52) 会话名称: Unknown 客户端名: ABUPC13 客户端地址: 192.168.0.13 会话被重新连接到 winstation: 用户名: administrator 域: ABUSERVER 登录 ID: (0x0,0x1BE7BA) 会话名称: RDP-Tcp#7 客户端名: ABUPC13 客户端地址: 192.168.0.13 这次,自己客户机名以及当时的IP都被记录下来了。 测试三: 正常连接服务器,输入错误的密码,再输入到第6次(缺省安全配置情况下)终端服务窗口关闭。 重新连接登录后,检查日志出现以下纪录: 在系统日志里: 来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。 在安全日志里: 登录失败: 原因: 用户名未知或密码错误 用户名: administrator 域: ABUSERVER 登录类型: 2 登录过程: User32 身份验证程序包: Negotiate 工作站名: ABUSERVER 到这里,我们分析了各种不同环境下登录终端服务器的日志纪录效果。 这样看来,是不是清楚了很多?呵呵 也许有朋友会奇怪为什么在第一个日志记录中,工作站名也是服务器的名称而不是我用来登录的客户机的名称。 原因是因为在以终端方式登录的时候,系统实际上是以虚拟桌面、本地登录 的方式进行记录,自然没有对真正用户的纪录咯。 所以总结如下: 1、当一个用户以终端方式登录服务器的时候,如果正常退出,服务器上的日志中,将不会记录你的IP,机器名。 2、当用户以终端方式登录后又发生了中断,这时候系统才会纪录客户机的IP以及机器名。 3、当密码输入错误导致连接终止时,在系统日志里会留下客户机的机器名信息。 呵呵,最后我在罗嗦一些关于被纪录下来的IP地址。 系统在纪录终端方式的客户机IP地址的时候,如果你的客户机处于一个局域网中,通过透明网关的方式访问服务器, 在服务器上留下的IP也只是你内网的IP地址,看来,单纯依靠微软的日志纪录,还是难免会有疏漏的。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- windows-server-2008 – Windows 2008 DFS复制问题
- 思维导图工具XMind
- 是否可以使用ColdFusion将Microsoft Word文档转换为PDF?
- 适用于Windows Mobile 6.5的HTML5 localStorage浏览器
- windows-server-2003 – 诊断组策略对象无法访问的原因
- windows – 监视COM对象
- 如果设置了window.location.href,则node-webkit不会最小化到
- .net – 以编程方式更新Windows 8开发者许可证?
- windows-server-2008-r2 – “无法打开服务器服务性能对象.
- active-directory – Active Directory用户和计算机的限制视
推荐文章
站长推荐
- windows-8 – Win8作为自适应/辅助技术的平台
- Windows Server 2016 与 Linux 的网络性能对比测
- win10 安装msi 提示2502、2503的错误代码(已成功
- batch-file – BATCH – 从Windows命令行获取显示
- windows-phone – Windows Phone 8上的FontAweso
- windows – 如何批量杀死任务?
- WTL(Windows模板库)是否仍然维护,我应该用它在C中
- windows-server-2008 – 密码验证失败 – NTLMv2
- windows – 在ClickOnce部署中使用证书对应用程序
- windows-server-2008 – 内部AD域与互联网域
热点阅读