记录3389端口登录日志-windows随手记

最新推荐文章于 2024-05-28 19:21:33 发布
最新推荐文章于 2024-05-28 19:21:33 发布
阅读量2.5k 收藏 11
点赞数 16
分类专栏: windows溯源 工作分享 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32390591/article/details/131308340
版权

最近总碰到需要查询3389端口登录记录,每次都要从安全日志里面查询/筛选,烦的不要不要的。就想着写个批处理,把登录成功和失败的都记录下来。

一、知识储备

1、端口介绍

3389是windows远程登录默认端口号,可以通过运行:mstsc,输入账号密码后登录

2、主要排查事件ID4624,4625

4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。

4625,表示登陆失败的用户,用来判断RDP爆破的情况。

3、使用命令

netstat

一般用netstat -an 来显示所有连接的端口并用数字表示

eventvwr

eventvwr.exe是打开Windows事件管理器的一个媒介,运行后会自动调用mmc.exe启动eventvwr.msc文件,从而启动事件管理器,一般位于%SystemRoot%\system32\下,体积 8.5K

taskschd.msc

任务计划程序在windows绝大多数版本都是系统自带,可以通过一下入口找到
1、开始——(windows)管理工具
2、服务器管理器——工具(server版)
3、我的电脑(此电脑)——点击我的电脑(此电脑)——管理
4、运行(或者cmd、powershell窗口中)——taskschd.msc

引用链接:Windows 任务计划程序(task scheduler)介绍_51CTO博客_windows task scheduler

二、原始查询方式

1、windows键+R,打开运行窗口,或右击开始选择运行

2、输入eventvwr,确定或回车

3、依次点开“事件管理器”--windows日志--安全,在右侧选择:筛选当前日志,输入事件ID:4624,4625

三、使用批处理自动记录

因为是临时记录,所以我在C盘下随便创建了目录用于存放log文件。

1、复制以下代码到记事本,并重新保存为.bat文件

@echo off
cd /d C:\123
echo %date% %time% >> output_4624.txt
netstat -an | find ":3389" | find "ESTABLISHED">> output_4624.txt
notepad output_4624.txt
exit

注意:因为我时刻关注登录情况,所以每次运行完成后,都会自动打开,如果不需要可以把:notepad output_4624.txt 删掉。

把这个批处理文件放在C:\123文件中,

2、打开事件管理器,筛选出4624或4625事件,查看:二、原始查询方式

右键点击任意事件选择:将任务附加到此事件,然后直接下一步,使用默认配置即可。

四、删除计划任务

在运行框中输入:taskschd.msc   回车后,打开任务计划程序

一次打开任务计划程序库-事件查看器任务-选择创建的任务计划-右键删除 

饕餮之旅
关注
  • 16
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN10 查看端口使用情况
datong_csdn的博客
04-01 544
1.WIN+R ,输入cmd , 打开控制台 2.输入netstat -aon|findstr "8080"(以8080端口为例) 3.任务栏右击打开任务管理器,选择详细信息,对应PID找到10336
windows远程连接记录查看和配置(包括本地连接记录和server被连接记录
xh_w20的专栏
11-29 1万+
wins 远程连接记录,包括从本地连接的记录和server被连接的记录
火绒日志提示被局域网爆破攻击怎么找出攻击程序?
最新发布
weixin_68778384的博客
05-28 758
请注意,处理网络安全事件需要谨慎和专业知识。如果您不确定如何处理,最好不要尝试自行解决,而是寻求专业人士的帮助。同时,加强网络安全意识,定期更新安全软件,保持警惕,是防止此类攻击的重要措施。火绒日志提示被局域网爆破攻击,这通常意味着您的网络可能正在遭受某种形式的恶意扫描或尝试破解。
Windows Server查看记录远程登录信息的方法
一个懒鬼的博客
03-28 4363
前两天我的一台Windows Server 2012R2的服务器中了传说中的cryptowall病毒,所有数据文件都被加密,需要我支付1个比特币才能解码。幸好服务器上没什么重要的文件,还好我没钱,我选择回滚。 接着我开始考虑服务器安全方面的问题,第一步就是远程登录登录记录问题。 一、利用系统日志查看登录信息 打开控制面板——系统和安全——查看事件日志,就进入了事件查看器 打开左侧事件查看器(本地)——Windows日志——安全,就能查看所有安全日志 点击右侧筛选,筛选事件ID为4776的所.
Windows Server 2008怎么查看远程桌面登录日志
weixin_33758863的博客
09-11 2958
Windows Server 2008查看远程桌面登录日志:控制面板->查看事件日志->事件查看器(本地)->Windows日志->安全,在右侧的列表会显示出全部安全信息,然后可以查找 事件ID为4776的条目,点击开后,“源工作站:“后边的就是登陆本机的windows 客户端的主机名。每次查看都需要搜索比较麻烦,可以设置自动记录到文件的方式创建登陆...
记录远程用户登录日志
ZENITH
06-20 7095
对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连
Windows安全日志分析
热门推荐
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
windows登录日志统一记录
03-25
本文将详细探讨如何通过批处理脚本实现对Windows登录日志的统一记录,特别是针对3389远程桌面端口的活动,以及如何利用任务计划程序来自动化这个过程。 首先,3389端口Windows远程桌面服务(RDP,Remote Desktop ...
修改3389端口--windows系统下
11-19
修改3389端口
清除3389远程登录日志
09-04
这些日志记录了通过该端口进行的所有远程登录尝试,包括成功和失败的登录事件,对于系统管理员来说,有时可能需要清理这些日志以保护用户隐私或优化系统性能。 首先,我们需要了解3389登录日志存储的位置。在...
windows3389端口修改
01-26
Windows操作系统中,3389端口是默认的远程桌面协议(RDP, Remote Desktop Protocol)使用的端口,允许用户通过网络远程访问和控制计算机。然而,为了提高系统的安全性,有时候我们需要修改这个默认端口,避免被恶意...
开放windows服务器端口---以打开端口8080为例.docx
02-23
开放windows服务器端口---以打开端口8080为例
查看计算机远程端口,CMD下查3389远程端口
weixin_32816613的博客
07-26 8616
Windows Server服务器远程登录端口默认为3389,如果要查看确认当前使用的远程登陆端口可以使用tasklist/svc和netstat /ano两条命令查出来。打开“开始”-“运行”,输入cmd回车进入命令行界面。输入 tasklist /svc 回车,查看结果,找到“服务”为“TermService”行对应的进程PID号:查到我本机当前远程服务使用的PID为1936。然后再运行 ne...
整理:windows2003记录远程桌面连接登录日志的方法及注意事项
weixin_33692284的博客
08-13 534
有时想看看服务器的远程桌面连接登录日志,看看是否被***过。但windows2003系统默认没有记录相关日志。这个就需要我们自己创建登陆日志,以下是从网上找的记录远程桌面的连接登录日志方法: 1、建立一个存放日志和监控程序的目录,比如在C盘下建立一个RDP的目录 2、在其目录下建立一个名为RDPlog.txt的文本文件 3、在其目录下建立一个名为RDPlog.bat的批...
查看windows机器远程连接记录
落羽的专栏
12-22 8797
1、开始-设置-控制面板-管理工具  2、事件查看器-安全性 3、查看-筛选,在[事件ID]中输入528
命令批处理实现对3389登录日志记录
江湖·郎中·路
08-25 2128
 1、在一个位置上建立一个存放日志和监控程序的目录,比如我在C盘下建立一个RDP的目录 2、在其目录下建立一个名为RDPlog.txt的文本文件3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:date /t >>RDPlog.txttime /t >>RDPlog.txtnetstat -n -p tcp | find ":3389">>RDPlog.txtstar
3389登录日志清除
10-10 3099
/*3389登录日志清除*/   #include    #include    #include    #include    void Usage(char *progname);   void OpenKey(char *key);   void DelKey(char *key,char *value);   void QueryKey(char *key,char *value);   
java关闭端口_使用java代码关闭指定端口的程序-windows
06-02
要关闭指定端口的程序,可以使用Java的Socket类。以下是一个简单的示例代码: ```java import java.net.*; public class ClosePort { public static void main(String[] args) { try { int port = 8080; // 要关闭的端口号 ServerSocket serverSocket = new ServerSocket(port); serverSocket.close(); // 关闭端口 System.out.println("端口 " + port + " 已关闭"); } catch (Exception e) { System.out.println("关闭端口失败:" + e.getMessage()); } } } ``` 在上面的示例代码中,我们首先定义了要关闭的端口号,然后创建了一个ServerSocket对象并绑定到该端口。最后,调用ServerSocket的close()方法关闭端口。如果操作成功,会输出一条提示信息。如果操作失败,会输出失败原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值