談終端方式登陸的日誌記錄

近看到一篇文章《分析進入Win2000後留下的足跡》，這文章裏的關於紀錄終端服務登陸服務器日誌

紀錄的問題引起了幾個朋友的討論，究竟能不能紀錄日誌？何種狀況下才能紀錄日誌？

順手作了如下測試

這裏先交待一下：

個人服務器名：ABUSERVER

我本身客戶機名：ABUPC13

我本身客戶機的IP：192.168.0.13

我登陸所用的賬號：Administrator

本地安全策略裏面開啓：審覈登陸事件

測試一

用終端服務的方式登陸服務器，並正常註銷退出，查看安全審覈的日誌記錄以下：

　
登陸成功:
用戶名: Administrator
域: ABUSERVER

登陸 ID: (0x0,0x1D0B52)
登陸類型: 2
登陸過程: User32
身份驗證程序包: Negotiate
工做站名: ABUSERVER

　


用戶註銷:
用戶名: Administrator
域: ABUSERVER

登陸 ID: (0x0,0x1D0B52)
登陸類型: 2

　
很奇怪吧，由於並無看到有本身的IP或者機器名被記錄下來。並且在登陸時

紀錄的工做站名: ABUSERVER （這不是服務器的名字嘛）

　

測試二： 織夢好，好織夢

正常登陸上服務器之後，選擇斷開，臨時中斷當前會話，而後再次使用客戶端鏈接上服務器，在安全日誌裏

出現瞭如下記錄：

　
會話從 winstation 中斷鏈接:
用戶名: administrator
域: ABUSERVER
登陸 ID: (0x0,0x1D0B52)
會話名稱: Unknown
客戶端名: ABUPC13
客戶端地址: 192.168.0.13

　


會話被從新鏈接到 winstation:
用戶名: administrator
域: ABUSERVER
登陸 ID: (0x0,0x1BE7BA)
會話名稱: RDP-Tcp#7
客戶端名: ABUPC13
客戶端地址: 192.168.0.13

　


此次，本身客戶機名以及當時的IP都被記錄下來了。

測試三：

正常鏈接服務器，輸入錯誤的密碼，再輸入到第6次(缺省安全配置狀況下）終端服務窗口關閉。

從新鏈接登陸後，檢查日誌出現如下紀錄：

在系統日誌裏：

來自客戶端名 ABUPC13 的遠程會話超出了所容許的失敗登陸最大次數。強行終止了會話。

在安全日誌裏：

　
登陸失敗:
緣由: 用戶名未知或密碼錯誤
用戶名: administrator
域: ABUSERVER
登陸類型: 2
登陸過程: User32
身份驗證程序包: Negotiate dedecms.com 工做站名: ABUSERVER 　 到這裏，咱們分析了各類不一樣環境下登陸終端服務器的日誌紀錄效果。 這樣看來，是否是清楚了不少？呵呵 也許有朋友會奇怪爲何在第一個日誌記錄中，工做站名也是服務器的名稱而不是我用來登陸的客戶機的名稱。 緣由是由於在以終端方式登陸的時候，系統其實是以虛擬桌面、本地登陸 的方式進行記錄，天然沒有對真正用戶的紀錄咯。 因此總結以下： 一、當一個用戶以終端方式登陸服務器的時候，若是正常退出，服務器上的日誌中，將不會記錄你的IP，機器名。 二、當用戶以終端方式登陸後又發生了中斷，這時候系統纔會紀錄客戶機的IP以及機器名。 三、當密碼輸入錯誤致使鏈接終止時，在系統日誌裏會留下客戶機的機器名信息。 呵呵，最後我在羅嗦一些關於被紀錄下來的IP地址。 系統在紀錄終端方式的客戶機IP地址的時候，若是你的客戶機處於一個局域網中，經過透明網關的方式訪問服務器， 在服務器上留下的IP也只是你內網的IP地址，看來，單純依靠微軟的日誌紀錄，仍是不免會有疏漏的。