RDPアクティビティログはありますか？ -Windows Server 2008 R2

1. イベントビューアを開く（eventvwr.msc）
2. Applications and Services Logsに移動-> Microsoft-> Windows-> TerminalServices-LocalSessionManager
3. AdminまたはOperationalを開く

セッションリストが表示されます。日付/タイムスタンプ/ IP /ユーザー名など。Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManagerでも確認できます

PowerShellでのソリューションは次のとおりです。

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

フィルタリングしている関連するEventIdに関する情報は、次の場所にあります。

• ログオン成功： https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624
• 再接続されたセッション： https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4778

RDP接続の場合、LogType 10に特に関心があります。 RemoteInteractive;ここでは、他のタイプが使用されている場合に備えて、フィルタリングしていません。ただし、必要に応じて別のフィルターを追加するのは簡単です。

これらのログが作成されていることを確認する必要もあります。それを行うには：

• Startをクリックします
• 選択する Control Panel
• 選択する Administrative Tools
• 開いた Local Security Policy
• ナビゲートSecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object> Logon/Logoff
• 修正Audit LogonからSuccess

イベントログをくまなく調べたり、セキュリティログでログオンタイプ10（リモートデスクトップ）を探したり、TerminalServicesチャネルのイベントログを確認したりする以外に、サードパーティのソフトウェアを使用する必要があります。

上記のTSLに加​​えて、過去に成功して使用してきたもう1つは、Remote Desktop Reporterです。

http://www.rdpsoft.com/products

サードパーティを利用する場合は、いくつかを評価して各ベンダーから価格見積もりを取得するようにしてください。価格には大きな違いがあります-ベンダーごとの名前付きユーザーごとの価格、同時ユーザーごとの価格、および単にサーバーごとの価格。また、ソリューションには独自のデータベースまたはSQLのライトバージョンが付属していることを確認してください。そうしないと、データベースライセンスのコストも発生します。

タスクマネージャーの[ユーザー]タブに移動し、右クリックして[リモートコントロール]を選択すると、リモートコントロール用のADのユーザーアカウントを設定して、ユーザーのセッションを表示または操作できます。その後、そのセッションを表示できます。

私はこのページの無料/手頃な回答のほとんどと他の場所を検索してきた（Andy Bichlerによって言及されたイベントログの読み取りを含む数日間）と、ここに代替の無料のRDP監視およびブロックツールがあります。

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

私は十分にテストしていませんが、ダウンロードしてスキャンしました（ポータブルバージョン）。UIは少し見栄えが悪いですが、2012 R2サーバーで問題なく動作しています。それは「実践的」ですが、非常に簡単で、イベントログの解読に勝っています。

サーバーのRDPをブルートフォースで強制するIPを自動的にブロックできるts_blockもあります（RDP試行のログがあると思います）。

https://github.com/EvanAnderson/ts_block

このリンクからわかるように、作成者はserverfaultユーザーです。基本的には使用する前に分析する必要があるvbscriptであるため、テストしていません。しかし、それは有望なようです。

上記のAndyによって言及されたイベントログの問題は、少なくとも悪意のある意味で、誰が何をしているかについて、非常に明確または説明的でないことです。 IPアドレスを見つけることはできますが、失敗したすべてのログイン試行に関連しているかどうかはわかりません。そのため、サーバーがインターネットに面していて、セキュリティについて懸念がある場合は、固有のログ以外の別のツールがほぼ必須のようです。

イベントログ-

アプリケーションとサービスログ\ Microsoft\Windows\remote desktop services-rdpcorets

rDPとIPアドレスに接続しようとするすべての試みがあります

私が数年前に管理者として働いていたとき、今のように問題がありました。RDPを介して接続するすべてのユーザーを監視し、アクティブかアイドルかを正確に監視したかったのです。

私はいくつかの製品を評価しましたが、どれも自分にとって十分ではないと判断したので、自分で作成しました（問題はすべて、データを収集するためのエージェントまたはサービスの種類があり、作成したソリューションがTS APIを使用してリモートでリモートサーバーを使用して、エージェントなしでデータを抽出します）。この製品は現在syskit（またはJimが言及したTSL）と呼ばれ、世界中で広く使用されています：D

ユーザーのアクティビティを確認できます ここ