Мониторинг внешнего входа и выхода пользователей Windows
Пример Просмотр и анализ логов RDP подключений в Windows
Ключ в zabbix будет использоваться eventlog
Мониторинг журналов событий.
Журнал (лог)
имя – имя журнала событий
регулярное выражение – регулярное выражение описывающее требуемый шаблон содержимого
важность – регулярное выражение описывающее важность
Параметр может принимать следующие значения:
“Information”, “Warning”, “Error”, “Critical”, “Verbose” (начиная с Zabbix 2.2, работающих на Windows Vista или на более новых версиях)
источник – регулярное выражение, описывающее идентификатор источника (регулярное выражение поддерживается начиная с версии Zabbix 2.2.0)
eventid – регулярное выражение описывающее идентификатор(ы) событий
макс. кол-во строк – максимальное количество новых строк в секунду, которое агент будет отправлять Zabbix серверу или прокси. Этот параметр заменяет значение ‘MaxLinesPerSecond’ в zabbix_agentd.win.conf
режим – возможные значения:
all (по умолчанию), skip – пропустить обработку старых данных (влияет только на недавно созданные элементы данных).
Элемент данных должен быть настроен активной проверкой.
Обратите внимание, агент не может отправлять события из “Пересланные события” журнала.
Параметр режим поддерживается начиная с версии 2.0.0.
“Windows Eventing 6.0” поддерживается начиная с Zabbix 2.2.0.
Обратите внимание, что выбор не журнального типа информации для этого элемента данных приведет к потере локального штампа времени, а также важности журнала и информации о источнике.
Смотрите дополнительную информацию о мониторинге файлов журналов.
СПЕЦИФИЧНЫЕ КЛЮЧИ ЭЛЕМЕНТОВ ДАННЫХ
Триггер
logeventid
Проверка, совпадает ли ID события последней записи из журнала указанному регулярному выражению.
шаблон – регулярное выражение описывающее требуемый шаблон, в формате расширенных регулярных выражений POSIX.
Поддерживаемые типы значений: log
Возвращает:
0 – не совпадает
1 – совпадает
Изначально шаблон был взят с Windows Server Login monitor далее путь на гитхаб Server-Login-monitor-Zabbix
Для начала оригинальный шаблон автора который был скачен с гитхаба
Windows external login monitor
Группы элементов данных
Log
RDP
Триггер Windows external login monitor.jpg
Далее первые изменения в шаблоне
Переведён полностью на Русский язык
Добавлены описания
Добавлен триггер на повторный вход 25
Windows external login monitor rus.jpg
Группы элементов данных
LOG-RDP&Local
Вход на удаленный рабочий стол
Монитор РДП вход и выход
17 – ошибка Не удалось запустить службу удаленного рабочего стола
21 – успешный Вход
22 – получено уведомление о запуске оболочки
23 – выход из сеанса
24 – отключен
25 – успешное пере подключение
Триггер 2 Windows external login monitor rus.jpg
Сперва текущий актуальный шаблон на 12.01.2021, ниже как это делалось какие проблемы возникали и тд.
19.08.2022
Для элемента данных “Получаем предыдущее значение для Windows LSM”
если Windows включен но никто не заходил данные пустые строки нет и элемент уходит в ошибку что тип не числовой, в предобработке при пустом значении делаем 0.
Шаблон Монитор внешнего входа Windows.jpg
Группы элементов данных LOG-RDP&Local
Элементы данных 5
Элементы данных Монитор внешнего входа Windows
Элемент данных Вход в Windows LSM
Если RDP закрыт, а не завершен то в журнале
24 – отключен
после триггер действие завершение и
23 – выход из сеанса (закрывает триггер)
А если завершен, в логе
23-выход из сеанса
24 – отключен
И по этому триггер на отключение не закрывается
Поэтому смотрим предпоследнюю запись если она 23 триггер не срабатывает.
Вход в Windows RCM
(Win+R) команду eventvwr.msc
Элемент данных Вход в Windows Security
Элемент данных ClientName
Проверка со стороны сервера
zabbix_get -s 192.168.ххх.ххх -k 1
Триггер Повтора Входа Аунтификации Монитор внешнего входа Windows
Срабатывает если последняя запись 24 и предпоследняя не равна 23
не создавалось множество указано diff
Из журнала Microsoft-Windows-TerminalServices-LocalSessionManager/Operational можем получить
Пользователь: источника: Код сеанса:
Локально: 21
Службы удаленных рабочих столов: Успешный вход в систему:
/Пользователь: COMPTVМедиа
Код сеанса: 1
Адрес сети источника: ЛОКАЛЬНЫЕ
Посети: 21
Службы удаленных рабочих столов: Успешный вход в систему:
/Пользователь: COMPTVМедиа
Код сеанса: 2
Адрес сети источника: 192.168.175.8
Посети: 25
Службы удаленных рабочих столов: Успешное переподключение сеанса:
Пользователь: COMPTVМедиа
Код сеанса: 1
Адрес сети источника: 192.168.175.8
По сети: 24
Службы удаленных рабочих столов: Сеанс был отключен:
Локально 23
Службы удаленных рабочих столов: Успешный выход из сеанса:
Триггер RDP auth Пользователь: ДоменMamzikovAA источника: 192.168.175.8 Код сеанса: 4
21
Службы удаленных рабочих столов: Успешный вход в систему:
/Пользователь: ДоменMamzikovAA
Код сеанса: 4
Адрес сети источника: 192.168.175.8
23
Службы удаленных рабочих столов: Успешный выход из сеанса:
Пользователь: ДоменMamzikovAA
Код сеанса: 4
24
Службы удаленных рабочих столов: Сеанс был отключен:
Пользователь: ДоменMamzikovAA
Код сеанса: 4
Адрес сети источника: 192.168.175.8
25
Службы удаленных рабочих столов: Успешное переподключение сеанса:
Пользователь: ДоменАдминистратор
Код сеанса: 1
Адрес сети источника: 192.168.175.10
4647 – выход
Выход, запрошенный пользователем:
Субъект:
ИД безопасности: S-1-5-21-59707171-3867655147-1643063056-500
Имя учетной записи: Администратор
Домен учетной записи: FSServer
Код входа: 0x163d7532
Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
4634 – выход (23 в 2 журнале)
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: ДоменMamzikovAA
Имя учетной записи: MamzikovAA
Домен учетной записи: Домен
Код входа: 0x28a9692
Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения “Код входа”. Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Пример eventlog Security 4624.jpg
Вход в Windows RCM-Remote Connection Manager
1149 – установление сетевого подключение к серверу от RDP клиента пользователя (не аунтификация)
4624 – успешная аутентификация
4625 – ошибка аутентификации
При входе через терминальную службу RDP — LogonType = 10 или 3.
Если LogonType = 7, значит выполнено переподключение к уже имеющейся RDP сессии.
Account Name – имя пользователя
Workstation Name – имя компьютера
Source Network Address – имя пользователя
TargetLogonID – уникальный идентификатор сессии пользователя
Службы удаленных рабочих столов: Успешная проверка подлинности пользователя:
Пользователь: Администратор
Домен: FSServer
Адрес источника сети: 192.168.175.8
Следующая проблемка
Отключенные пользователи которые не завершили сеанс, а просто его закрыли! Корректно нужно завершать сеанс, так же нужно проверять.
Копятся не закрываются триггеры
Разница Завершения Сеанса пользователя и отключения
По завершению и закрытию сеанса RDP
Завершение сеанса
23 – выход из сеанса (закрываем триггер все хорошо или не даем триггеру открыться)
24 – отключен
При закрытии сессии RDP на крестик
24 – отключен сработал триггер (выполним действие на завершение пользователя) и дальше его ничто уже не закроет так как 23 уже было в логе
23 – выход из сеанса, сработало действие на завершение сеанса пользователя по триггеру отключен
Открытие Срабатывание триггера отключённых пользователей происходить по 24 значению лога
а закрытие триггера по 23 значению лога
23 – выход из сеанса (закрывает триггер)
24 – отключен
Срабатывает если последняя запись 24 и предпоследняя не равна 23
не создавалось множество указано diff
По отключенным триггер срабатывает если 24 и предыдущая строка не 23
Так же была попытка сделать через теги , корреляцию.
Добрый день! Поясните правильно ли я понимаю работу тегов или нет.
Запрашиваю каждую 1 минуту
Описание
17 – ошибка Не удалось запустить службу удаленного рабочего стола
21 – успешный Вход
22 – получено уведомление о запуске оболочки
23 – выход из сеанса
24 – отключен
25 – успешное переподключение
Суть вопроса в чем
Кто то отключился Сработал триггер, регулярка отработала присвоила триггеру тег например 2
Дальше у меня действие спустя 5 минут завершить сессию данного пользователя (мало ли просто обрыв инет пропал даю 5 минут ожидания)
Элемент за это время у нас еще отпроситься 4 раза, естественно там регулярки не будет, так как изменений в логе нет по этой сессии
Сам же отвечу пустые Логи не приходят, только идут по штампу времени значит значение тега сохраняется, так же если будут изменения лога присвоится другой ID и триггер закроется или сработает другой или действия.
Сам отвечу не будет пустым, выше ответ почему.
но сбоку сработавшего триггера значение тега есть никуда не пропало выходит что он это значение никак не берет? и его никак не взять?
Т.е. действие нужно выполнять сразу пока элемент повторно не получил пустое значение ?
В некоторых попытках в триггер можно получить предыдущее значение журнала (лога) но уже нельзя сравнить id
Открываем Журнал событий Run (Win+R) команду eventvwr.msc
1100 – Завершение работы
1102 – Очистка журнала
4624 – Вход в систему для обычной windows Новый вход: – Имя учетной записи: Сведения о сети: – Имя рабочей станции
4648 – Вход Windows (серверов) Были использованы учетные данные следующей учетной записи: Имя учетной записи:
Целевой сервер: – Имя целевого сервера:
4634 – выход (23 в 2 журнале)
4647 – выход
4778 – Пользователь переподключился к RDP сессии (пользователю выдается новый LogonID)
4799 – Отключение от RDP сеанса
9009 – Пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен
WshShell = Новый COMОбъект(“WScript. Shell”);
WshSysEnv = WshShell. Environment(“Process”);
Сообщить(“Имя компьютера “+WshSysEnv. Item(“CLIENTNAME”));
Работает только в терминальной сессии
реестр всех пользователей
C:mkdir c:Temp
Regedit.exe /e c: empyourname.reg
date
Текущая дата в формате ГГГГММДД. Поддерживаемые типы значений: любые Пример результата: 20150731
time
Текущее время в формате ЧЧММСС. Поддерживаемые типы значений: любые Пример возвращаемого значения: 123055
Имя Time diff
Тип Вычисляемое
Ключ system.localtime.fuzzytime
Формула fuzzytime(system.localtime,60)
Тип инфы Числовой (целое положительное)
Интервал 1m
Если 3 последних 0 т.е. 0+0+0 = 0 значит триггер срабатывает у нас есть расхождение более чем на 1 минуту
Триггер
system.localtime.fuzzytime.sum(#3)}=0
system.localtime -формат ДД. ММ. ГГГГ ЧЧ:ММ:СС
FIND /I – Поиск без учета регистра символов “строка” – Искомая строка
FIND /N – Вывод номеров отображаемых строк.
FIND /V – Вывод всех строк, НЕ содержащих заданную строку.
Кото для теста хочет подключатся к учетной записи по RDP без пароля не обходимо выполнить следующее
При попытке подключиться к компьютеру под управлением Windows с помощью средства дистанционного управления рабочим столом появляется следующее сообщение об ошибке: Вход в систему невозможен из-за ограничений для учетной записи.
Подобное поведение наблюдается, если используемая для подключения учетная запись имеет пустой пароль. Невозможно установить подключение к удаленному рабочему столу, используя учетную запись с пустым паролем.
Чтобы устранить эту проблему и подключиться к удаленному рабочему столу, войдите в систему с консоли компьютера и установите пароль для используемой учетной записи.
Такое поведение является особенностью данного продукта
Ограничения, накладываемые пустым паролем, можно отключить, используя политику. Найдите и измените соответствующую политику, выполнив следующие действия:
Нажмите кнопку Пуск, выберите пункт Выполнить (win + R), введите команду gpedit.msc и нажмите кнопку OK, чтобы запустить редактор объектов групповой политики.
Откройте раздел Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПараметры безопасностиУчетные записи: Limit local account use of blank passwords to console logon only.
Дважды щелкните элемент Limit local account use of blank passwords to consol logon only.(:ограничить использования пустых паролей только для консолей входа)
Выберите отключен и нажмите кнопку OK.
Закройте редактор групповой политики.
Примечание. По умолчанию данная политика включена.
Автор вопроса: Данил Краснов
У нас есть 15 ответов на вопрос Как посмотреть историю подключений по RDP? Скорее всего, этого будет достаточно, чтобы вы получили ответ на ваш вопрос.
Отвечает Дмитрий Бабичев
Сколько трафика уходит на подключение к удаленному рабочему столу?
Если удаленный доступ на скорости 5Мб/с, то за 8 часов раб. дня будет 2400Мбит или 300 МБайт трафика. Но как правило программы удаленного доступа стараются уменьшать трафик, поэтому он может быть и меньше. Удаленный доступ можно настроить на разные скорости, улучшив или наоборот качество картинки, размер и т.
Отвечает Артур Кабелевский
Вопрос следующий, у нас есть виртуалка на которой стоит Windows Server, с Remote Desktop Protocol. Вопрос: Где хранится история подключений к RDP ?
Отвечает Алексей Буйницкий
Отвечает Даня Омаров
Отвечает Слава Сотов
(нужна история подключений Windows Server )
Отвечает Елена Вуберман
Отвечает Дмитрий Удодов
Нужно узнать с каких ай-пи производилось подключение к моему компьютеру через стандартный виндосовский “RDP – удаленный рабочий стол”.
Отвечает Паша Аликандров
Отвечает Зарина Вебер
Как узнать кто, когда и зачем заходил в ваш компьютер

RDP клиент- в двух словах.

RDP-подключения. Удалёнка из дома на работу. Создать RDP-файл

Удаленный рабочий стол RDP. Подробная настройка. Windows 7, 8, 10
В этой статье мы рассмотрим, особенности аудита / анализа логов RDP подключений в Windows. Как правило, описанные методы могут пригодиться при расследовании различных инцидентов на терминальных / RDS серверах Windows, когда от системного администратора требуется предоставить информацию: какие пользователи входили на RDS сервер, когда авторизовался и завершил сеанс конкретный пользователь, откуда / с какого устройства (имя или IP адрес) подключался RDP-пользователь. Я думаю, эта информация будет полезна как для администраторов корпоративных RDS ферм, так и владельцам RDP серверов в интернете (Windows VPS как оказалось довольно популярны).
Как и другие события, логи RDP подключения в Windows хранятся в журналах событий. Откройте консоль журнала событий (Event Viewer). Есть несколько различных журналов, в которых можно найти информацию, касающуюся RDP подключения.
В журналах Windows содержится большое количество информации, но быстро найти нужное событие бывает довольно сложно. Когда пользователь удаленно подключается к RDS серверу или удаленному столу (RDP) в журналах Windows генерируется много событий. Мы рассмотрим журналы и события на основных этапах RDP подключения, которые могут быть интересны администратору:

В результате у вас получится список с историей всех сетевых RDP подключений к данному серверу. Как вы видите, в логах указывается имя пользователя, домен (используется NLA аутентификация, при отключенном NLA текст события выглядит иначе) и IP адрес компьютера, с которого осуществляется RDP подключение.

При этом имя пользователя содержится в описании события в поле Account Name, имя компьютера в Workstation Name, а имя пользователя в Source Network Address.
Вы можете получить список событий успешных авторизаций по RDP (событие 4624) с помощью такой команды PowerShell.

Событие с EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии).
При этом в журнале Security нужно смотреть событие EventID 4634 (An account was logged off).
Событие Event 9009 (The Desktop Window Manager has exited with code ( ) в журнале System говорит о том, что пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен.
Ниже представлен небольшой PowerShell, который выгружает из журналов терминального RDS сервера историю всех RDP подключений за текущий день. В полученной таблице указано время подключения, IP адрес клиента и имя RDP пользователя (при необходимости вы можете включить в отчет другие типы входов).

Иногда бывает удобно с логами в таблице Excel, в этом случае вы можете выгрузить любой журнал Windows в текстовый файл и импортировать в Excel. Экспорт журнала можно выполнить из консоли Event Viewer (конечно, при условии что логи не очищены) или через командную строку:
Список текущих RDP сессий на сервере можно вывести командой:

Список запущенных процессов в конкретной RDP сессии (указывается ID сессии):

На RDP-клиенте логи не такие информационные, основное чем часто пользуются информация об истории RDP подключений в реестре.
Как посмотреть логи windows
Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.
Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.
Как открыть в просмотр событий
Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки
Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.
Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).

Фильтрация в просмотре событий
Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:
Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:
Посмотреть логи windows PowerShell
Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду
В итоге вы получите список логов журнала Система
Тоже самое можно делать и для других журналов например Приложения
небольшой список абревиатур
Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Если нужно вывести более подробно, то заменим Format-Table на Format-List
Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Или выдать список сообщение позднее 1 ноября 2014
Дополнительные продукты
Так же вы можете автоматизировать сбор событий, через такие инструменты как:
Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org
Удаленный просмотр логов

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.


Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.
Команда QUERY используется для получения информации об использовании терминальных серверов пользователями, выполнившими подключение к удаленным рабочим столам по протоколу RDP (Remote Desktop Protocol). Позволяет получить сведения о подключениях и некоторые статистические данные об использовании ресурсов терминальных серверов.
Команда применяется в одном из контекстов:
По каждому из контекстов можно получить подсказку по использованию:
Query PROCESS /? – отобразить справочную информацию об использовании команды query process – сведения о процессах.
Для получения сведений о сеансах пользователей используется команда:
имя сеанса – Имя сеанса.
пользователь – Сеанс пользователя с этим именем.
ID сеанса – Идентификатор сеанса.
/SERVER: сервер – Опрашиваемый сервер (по умолчанию текущий).
/MODE – Отображение текущих параметров линии. Используется при удаленном подключении с использованием последовательных линий связи.
/FLOW – Отображение текущих параметров управления потоком. Используется при удаленном подключении с использованием последовательных линий связи .
/CONNECT – Отображение текущих параметров подключения.
/COUNTER – Отображение информации счетчиков служб удаленных рабочих столов.
/VM – Отображение информации о сеансах в виртуальных машинах.
query session /server: rdserver1 – отобразить сведения о сеансах всех пользователей терминального сервера rdserver1
Пример отображаемой информации:
query session /server: rdserver /mode – отобразить сведения о параметрах последовательного порта – скорость передачи, длина посылки, тип контроля четности, длина стоповых бит.
query session /server: SERVER /counter – отобразить статистические сведения о сеансах удаленного рабочего стола сервера SERVER. В этом случае, кроме списка активных сеансов, отображается еще и статистика в виде :
Всего сеансов создано: 185955
Всего сеансов отключено: 186146
Всего сеансов переподключено: 261
query session 1446
qwinsta – отобразить информацию о всех сеансах всех пользователей текущего компьютера. Локальные сеансы отображаются с именем console, удаленные – rdp-tcp#N
Для получения сведений о терминальных серверах домена используется команда:
Параметры командной строки:
имя_сервера – Задает сервер, обслуживающий сеансы подключения к удаленному рабочему столу.
/DOMAIN:домен – Отображение информации для указанного домена (по умолчанию для текущего домена).
/ADDRESS – Отображение адресов сети и узлов.
/CONTINUE – Не останавливаться при заполнении каждого экрана.
query termserver – отобразить информацию о всех терминальных серверах текущего домена.
query termserver RDserver /ADDRESS – отобразить информацию о терминальном сервере RDserver текущего домена, включая его адрес.
qappsrv.exe /domain:MyDom – отобразить информацию о терминальных серверах домена MyDom .
Для отображения сведений о процессах используется команда:
* – Отображать все видимые процессы.
ID процесса – Отображение процесса, заданного этим идентификатором.
пользователь – Отображение всех процессов для данного имени пользователя.
имя сеанса – Отображение всех процессов для указанного сеанса.
/ID:nn – Отображение всех процессов для сеанса nn.
имя программы – Отображение всех процессов, связанных с этой программой.
/SERVER: имя_сервера Опрашиваемый сервер, обслуживающий сеансы подключения к удаленному рабочему столу.
Примеры использования QPROCESS:
QUERY PROCESS /? – отобразить подсказку по использованию команды.
QUERY PROCESS * – отобразить сведения обо всех видимых процессах
QUERY PROCESS – при выполнении команды без параметров, отображаются сведения о процессах текущего пользователя.
QUERY PROCESS /server:winsrv – отобразить процессы текущего пользователя на сервере с именем winsrv
query process система – отобразить сведения о системных процессах.
QUERY PROCESS svchost.exe – отобразить сведения о процессах, связанных с исполняемым файлом svchost.exe
При получении сведений о процессах, связанных с исполняемым файлом, указывать расширение обязательно. Например:
query process services.exe – отобразить сведения о процессах, связанных с исполняемым файлом services.exe
query process services – отобразить сведения о процессах, связанных с сеансом services
query process console – отобразить все процессы сеанса console – локального пользователя Windows.
query process rdp-tcp#0 – отобразить все процессы, связанные с удаленным сеансом rdp-tcp#0.
QPROCESS /ID:144 – отобразить процессы сеанса с идентификатором 144
При большом объеме информации, можно использовать команду QUERY PROCESS в цепочке с командой more :
Для получения сведений о пользователях используется команда:
пользователь – Имя пользователя.
имя сеанса – Имя сеанса.
ID сеанса – Идентификатор сеанса.
/SERVER: сервер – Опрашиваемый сервер (по умолчанию – текущий).
Весь список команд CMD Windows
Howto check RDP Windows Server connection logs
Here three ways are listed to help you check incoming and outgoing RDP Windows Server connection logs. These ways areapplicable when analyzing RDP logs for both Windows Server 2022/2019/2016/2012 R2 and to desktop editions (Windows 11, 10, 8.1, 8, and 7).
Part 1. How to check incoming RDP Windows Server connection logs
There are three ways to help you check incoming RDP Windows Server connection logs.
Way 1. Check incoming RDP connection logs via Event Viewer
The first way to check incoming RDP connection logs on Windows Server is using the Event Viewer.
Step 1. Press Win + R to invoke the Run dialog box, then type in “eventvwr.msc” and press OK to open Event Viewer.

Step 3. The Event ID of Remote Desktop Services is 1149. Then enter 1149 to filter the log.

Step 4. Then you will get an event list with the history of all RDP connections to this server.

Step 5. Click one of them, then you can see the details of the RDP connection, including IP address, computer name, login time, etc.

Way 2. Check incoming RDP connection logs via Registry
You can also check the incoming RDP connection logs on Registry.
Step 1. Press Win + R to invoke the Run dialog box, then type in “regedit” and press OK to open Registry.

Way 3. Check incoming RDP connection logs via PowerShell

TimeGenerated = $_. TimeGenerated

Part 2. How to check outgoing RDP Windows Server connection logs
Outgoing RDP connection logs can also be viewed on the client side. There are two options.
Way 1. Check outgoing RDP connection logs via Event Viewer

Way 2. Check outgoing RDP connection logs via PowerShell

Check outgoing connection logs on Windows with ease
If you usethe free remote desktop software AnyViewer, it would be easy for you to check the outgoing remote connection you have made from your computer. AnyViewer supports both Windows Servers and Windows operating systems. Check out the detailed steps below.
Step 1. Download, install, launch AnyViewer on your computer.
Step 2. If you already have an AnyViewer account, you can login directly. Если нет, заполните регистрационную информацию и нажмите «Зарегистрироваться», чтобы создать учетную запись AnyViewer.

Шаг 3. Затем вы увидите, что успешно вошли в AnyViewer. Перейдите на вкладку Устройство, проверьте Список подключенных устройств. Здесь перечислены последние 10 удаленных подключений, которые вы сделали.

Шаг 4. Вы также можете выбрать конкретное устройство и нажать «Свойства». Вы можете увидеть IP-адрес компьютера, к которому вы подключились, и конкретное время подключения.

Заключение
В этом посте в основном представлены способы проверки журналов подключений RDP Windows Server. Было бы очень полезно, если вы хотите знать входящее и исходящее RDP-соединение на вашем Windows Server. Если вы используете AnyViewer, вам будет проще проверить сделанное вами удаленное подключение.

