ちょっと気になることがありWindows Terminal Servicesの接続イベントログを調べてみました。
記録内容としては接続元IPとログインユーザー名が記録されるだけですが、それでも接続元IPから不審なものが無いか確認できると思います。
確認したのはWindows Server 2012 R2 評価版です。
場所はイベントビューアーから[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[TerminalServices-RemoteConnectionManager]-[Operational]でEVENT ID 1149でした。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 |
ログの名前: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational ソース: Microsoft-Windows-TerminalServices-RemoteConnectionManager 日付: 2017/03/10 12:44:26 イベント ID: 1149 タスクのカテゴリ: なし レベル: 情報 キーワード: ユーザー: NETWORK SERVICE コンピューター: Win2012R2 説明: リモート デスクトップ サービス: ユーザー認証に成功しました: ユーザー: administrator ドメイン: ソース ネットワーク アドレス: 192.168.1.110 イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="{C76BAA63-AE81-421C-B425-340B4B24157F}" /> <EventID>1149</EventID> <Version>0</Version> <Level>4</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x1000000000000000</Keywords> <TimeCreated SystemTime="2017-03-10T03:44:26.905496000Z" /> <EventRecordID>20</EventRecordID> <Correlation ActivityID="{F4205438-4CFD-4FBA-907A-746244440000}" /> <Execution ProcessID="2652" ThreadID="3448" /> <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel> <Computer>Win2012R2</Computer> <Security UserID="S-1-5-20" /> </System> <UserData> <EventXML xmlns="Event_NS"> <Param1>administrator</Param1> <Param2> </Param2> <Param3>192.168.1.110</Param3> </EventXML> </UserData> </Event> |
カスタムビューを作成しておけば簡単に確認できるし、バッチで抽出もできます。
期間を区切っていないですがwevtutil.exeのquery XMLです。
1 2 3 4 5 6 7 |
<QueryList> <Query Id="0" Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin"> <Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin">*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (Level=4 or Level=0) and (EventID=1149)]]</Select> <Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Analytic">*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (Level=4 or Level=0) and (EventID=1149)]]</Select> <Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Debug">*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (Level=4 or Level=0) and (EventID=1149)]]</Select> <Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (Level=4 or Level=0) and (EventID=1149)]]</Select> </Query> |
wevtutil.exeについては下記を参照して下さい。