谈终端方式登陆的日志记录

近看到一篇文章《分析进入Win2000后留下的足迹》，这文章里的关于纪录终端服务登陆服务器日志

纪录的问题引起了几个朋友的讨论，究竟能不能纪录日志？何种状况下才能纪录日志？

顺手作了如下测试

这里先交待一下：

个人服务器名：ABUSERVER

我本身客户机名：ABUPC13

我本身客户机的IP：192.168.0.13

我登陆所用的账号：Administrator

本地安全策略里面开启：审核登陆事件

测试一

用终端服务的方式登陆服务器，并正常注销退出，查看安全审核的日志记录以下：

　
登陆成功:
用户名: Administrator
域: ABUSERVER

登陆 ID: (0x0,0x1D0B52)
登陆类型: 2
登陆过程: User32
身份验证程序包: Negotiate
工做站名: ABUSERVER

　


用户注销:
用户名: Administrator
域: ABUSERVER

登陆 ID: (0x0,0x1D0B52)
登陆类型: 2

　
很奇怪吧，由于并无看到有本身的IP或者机器名被记录下来。并且在登陆时

纪录的工做站名: ABUSERVER （这不是服务器的名字嘛）

　

测试二： 织梦好，好织梦

正常登陆上服务器之后，选择断开，临时中断当前会话，而后再次使用客户端链接上服务器，在安全日志里

出现了如下记录：

　
会话从 winstation 中断链接:
用户名: administrator
域: ABUSERVER
登陆 ID: (0x0,0x1D0B52)
会话名称: Unknown
客户端名: ABUPC13
客户端地址: 192.168.0.13

　


会话被从新链接到 winstation:
用户名: administrator
域: ABUSERVER
登陆 ID: (0x0,0x1BE7BA)
会话名称: RDP-Tcp#7
客户端名: ABUPC13
客户端地址: 192.168.0.13

　


此次，本身客户机名以及当时的IP都被记录下来了。

测试三：

正常链接服务器，输入错误的密码，再输入到第6次(缺省安全配置状况下）终端服务窗口关闭。

从新链接登陆后，检查日志出现如下纪录：

在系统日志里：

来自客户端名 ABUPC13 的远程会话超出了所容许的失败登陆最大次数。强行终止了会话。

在安全日志里：

　
登陆失败:
缘由: 用户名未知或密码错误
用户名: administrator
域: ABUSERVER
登陆类型: 2
登陆过程: User32
身份验证程序包: Negotiate dedecms.com 工做站名: ABUSERVER 　 到这里，咱们分析了各类不一样环境下登陆终端服务器的日志纪录效果。 这样看来，是否是清楚了不少？呵呵 也许有朋友会奇怪为何在第一个日志记录中，工做站名也是服务器的名称而不是我用来登陆的客户机的名称。 缘由是由于在以终端方式登陆的时候，系统其实是以虚拟桌面、本地登陆 的方式进行记录，天然没有对真正用户的纪录咯。 因此总结以下： 一、当一个用户以终端方式登陆服务器的时候，若是正常退出，服务器上的日志中，将不会记录你的IP，机器名。 二、当用户以终端方式登陆后又发生了中断，这时候系统才会纪录客户机的IP以及机器名。 三、当密码输入错误致使链接终止时，在系统日志里会留下客户机的机器名信息。 呵呵，最后我在罗嗦一些关于被纪录下来的IP地址。 系统在纪录终端方式的客户机IP地址的时候，若是你的客户机处于一个局域网中，经过透明网关的方式访问服务器， 在服务器上留下的IP也只是你内网的IP地址，看来，单纯依靠微软的日志纪录，仍是不免会有疏漏的。