Апр 092013
 

В предыдущей статье мы рассмотрели анализ журнала System на предмет ошибок. Сегодня мы рассмотрим журнал Security на предмет подключения к нашему серверу через RDP. Нам необходимо узнать кто, когда и откуда подключался к нашему серверу терминалов. Все наши сервера работают на Windows Server 2008 R2. Ниже я привожу часть скрипта, который легко можно добавить в основной, который описан в соседней статье.

$dtNow = Get-Date
$dtPrev = $dtNow.AddHours(-1)
$login = @() # Массив подключения пользователя
$logout = @() # Массив отключения пользователя
 
Get-EventLog -LogName security | Where -FilterScript {
($_.TimeWritten -le $dtNow -and $_.TimeWritten -ge $dtPrev -and $_.EventID -eq 4624 -and $_.ReplacementStrings[8] -eq 10)} | 
ForEach-Object {
	$login += New-Object PSObject -Property @{
		ComputerName = $env:ComputerName
		TimeGenerated = $_.TimeGenerated
		User = $_.ReplacementStrings[5]
		Ip = $_.ReplacementStrings[18]
		SessionID = $_.ReplacementStrings[7]
    }
}
 
Get-EventLog -LogName security | Where -FilterScript {
($_.TimeWritten -le $dtNow -and $_.TimeWritten -ge $dtPrev -and $_.EventID -eq 4634 -and $_.ReplacementStrings[4] -eq 10)} | 
 
ForEach-Object {
	$logout += New-Object PSObject -Property @{
		ComputerName = $env:ComputerName
		TimeGenerated = $_.TimeGenerated
		User = $_.ReplacementStrings[1]
		SessionID = $_.ReplacementStrings[3]
    }
}
$login
$logout
 Posted by at 12:03

Sorry, the comment form is closed at this time.