最近总碰到需要查询3389端口登录记录,每次都要从安全日志里面查询/筛选,烦的不要不要的。就想着写个批处理,把登录成功和失败的都记录下来。
一、知识储备
1、端口介绍
3389是windows远程登录默认端口号,可以通过运行:mstsc,输入账号密码后登录
2、主要排查事件ID4624,4625
4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,表示登陆失败的用户,用来判断RDP爆破的情况。
3、使用命令
netstat
一般用netstat -an 来显示所有连接的端口并用数字表示
eventvwr
eventvwr.exe是打开Windows事件管理器的一个媒介,运行后会自动调用mmc.exe启动eventvwr.msc文件,从而启动事件管理器,一般位于%SystemRoot%\system32\下,体积 8.5K
taskschd.msc
任务计划程序在windows绝大多数版本都是系统自带,可以通过一下入口找到
1、开始——(windows)管理工具
2、服务器管理器——工具(server版)
3、我的电脑(此电脑)——点击我的电脑(此电脑)——管理
4、运行(或者cmd、powershell窗口中)——taskschd.msc
引用链接:Windows 任务计划程序(task scheduler)介绍_51CTO博客_windows task scheduler
二、原始查询方式
1、windows键+R,打开运行窗口,或右击开始选择运行
2、输入eventvwr,确定或回车
3、依次点开“事件管理器”--windows日志--安全,在右侧选择:筛选当前日志,输入事件ID:4624,4625
三、使用批处理自动记录
因为是临时记录,所以我在C盘下随便创建了目录用于存放log文件。
1、复制以下代码到记事本,并重新保存为.bat文件
@echo off
cd /d C:\123
echo %date% %time% >> output_4624.txt
netstat -an | find ":3389" | find "ESTABLISHED">> output_4624.txt
notepad output_4624.txt
exit
注意:因为我时刻关注登录情况,所以每次运行完成后,都会自动打开,如果不需要可以把:notepad output_4624.txt 删掉。
把这个批处理文件放在C:\123文件中,
2、打开事件管理器,筛选出4624或4625事件,查看:二、原始查询方式
右键点击任意事件选择:将任务附加到此事件,然后直接下一步,使用默认配置即可。
四、删除计划任务
在运行框中输入:taskschd.msc 回车后,打开任务计划程序
一次打开任务计划程序库-事件查看器任务-选择创建的任务计划-右键删除