互联网服务网络安装部署
请教客户端登录PC服务器痕迹查询方法
1、我公司一台PC服务器(hp)部署的浪潮系统,操作系统是window是2003 ,现在某人登录上去,随意操作了个动作,能够知道是什么账号登陆的,但是不知道是在网络中的那一台客户机上登陆的,请帮忙给个方法
12同行回答
回复 simon_cheng 我先试试看看,这个方法能否实现啊,太详细了yuanyi 发表于 2012-8-31 21:22
应该没有问题的,我见有人用过!浏览1427
问问微软呢收起
浏览1736
一直都在使用2003的远程桌面功能,在网上找了一下,也可以创建登陆日志:
1、建立一个存放日志和监控程序的目录,比如在C盘下建立一个RDP的目录
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer
4、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
5、切换到“环境”页下,启用“用户登录时启用下列程序”
6、在程序路径和文件名处填写:C:RDP dplog.bat;并在起始于填写:C:RDP
完成以上的配置步骤后,当再次登录服务器时就会记录当前登录者的时间和IP。
可是每次登录时都会有一个DOS的黑窗口一闪而过,很不舒服,怎么去掉它呢?
1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件,内容如下:
Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:RDPRDPLog.bat",0)
2、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
3、切换到“环境”页下,启用“用户登录时启用下列程序”
4、在程序路径和文件名处填写:wscript C:RDPRDPLog.vbs;并在起始于填写:C:RDP
另外提醒各位:如果想每次登陆都记录访问着的时间和IP,每次退出远程桌面时,都必须选择“注销”用户退出
我来解释一下这个文件的含义:
第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号
>>把这个时间记入TSLog.log
第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显緄p和端口而不是域名、协议,-p tcp是只显示
tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户
的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,
于是在TSLog.log文件中,记录格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED
正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log 文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制,如果服务器有更高的安全要求,那还是需要通过编程后购买入侵检测 软件来完成。收起
1、建立一个存放日志和监控程序的目录,比如在C盘下建立一个RDP的目录
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer
4、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
5、切换到“环境”页下,启用“用户登录时启用下列程序”
6、在程序路径和文件名处填写:C:RDP dplog.bat;并在起始于填写:C:RDP
完成以上的配置步骤后,当再次登录服务器时就会记录当前登录者的时间和IP。
可是每次登录时都会有一个DOS的黑窗口一闪而过,很不舒服,怎么去掉它呢?
1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件,内容如下:
Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:RDPRDPLog.bat",0)
2、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
3、切换到“环境”页下,启用“用户登录时启用下列程序”
4、在程序路径和文件名处填写:wscript C:RDPRDPLog.vbs;并在起始于填写:C:RDP
另外提醒各位:如果想每次登陆都记录访问着的时间和IP,每次退出远程桌面时,都必须选择“注销”用户退出
我来解释一下这个文件的含义:
第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号
>>把这个时间记入TSLog.log
第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显緄p和端口而不是域名、协议,-p tcp是只显示
tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户
的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,
于是在TSLog.log文件中,记录格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED
正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log 文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制,如果服务器有更高的安全要求,那还是需要通过编程后购买入侵检测 软件来完成。收起
浏览1826
你所说的登陆时远程桌面么?收起
浏览1757
这个需要自己写脚本了,系统本身好像不支持!收起
浏览1791
浏览1829