转贴地址:http://skycyc23.blog.51cto.com/231267/373497
有时想看看服务器的远程桌面连接登录日志,看看是否被入侵过。但windows2003系统默认没有记录相关日志。这个就需要我们自己创建登陆日志,以下是从网上找的记录远程桌面的连接登录日志方法:
1、建立一个存放日志和监控程序的目录,比如在C盘下建立一个RDP的目录
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer
注意:以上3389是默认的远程桌面的端口号,如已修改过终端服务的端口,这个数值也要作相应的改变。
4、进入 控制面板-》管理工具-》终端服务器配置
会打开一个“tscc - 终端服务配置\连接 ”窗口
在窗口的右侧 有 RDP-Tcp 的记录 右键点击属性,会弹出RDP-Tcp属性 窗口(如下图),切换到“环境”页下,在其中的“初始程序”选项中设置:
启用“用户登录时启用下列程序”
在程序路径和文件名处填写:C:\RDP\RDPlog.bat
在起始于填写:C:\RDP
完成以上的配置步骤后,当再次登录服务器时就会记录当前登录者的时间和IP。
测试成功!
可是每次登录时都会有一个DOS的黑窗口一闪而过,很不舒服,有些人想精益求精去掉它。比如我,以下是操作步骤:
注意:请确保服务器wscript.shell 不被删除或改名,否则登录时可能会提示:windows脚本错误,无法找到名为“wscript.shell”的automation类,而无法远程进入系统,就只能找机房人员本地操作改回了。我就是因为不知道服务器因机房网管当时装系统配置安全时将wscript.shell删除了,而导致远程进不去系统。
1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件,内容如下:
Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:\RDP\RDPLog.bat",0)
2、同上进入 控制面板-》管理工具-》终端服务器配置,进入到默认RDP-Tcp属性中
3、切换到“环境”页下,启用“用户登录时启用下列程序”
在程序路径和文件名处填写:wscript C:\RDP\RDPLog.vbs
在起始于填写:C:\RDP
设置后,再登录时弹出的批处理窗口就消灭了!
另外提醒各位:如果想每次登陆都记录访问着的时间和IP,每次退出远程桌面时,都必须选择“注销”用户退出。以上仅是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制。