问题描述
如果使用NLA(网络层认证)作为一种身份验证方法,当一个RDP进入系统时,这可能会以登录类型3(网络)和7(解锁)(取决于配置)登录,而不是10(与MS文档所说的相反)。据我们所知,登录类型3非常嘈杂,因此我寻找一种将登录类型3事件与其他可能表明RDP连接的东西相关联的方法,我想我已经找到了。
%systemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
和
%systemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
以上两个给我事件ID 261(侦听器RDP-Tcp接收到连接)和1149(远程桌面服务:用户身份验证成功:) 21(远程桌面服务:会话登录成功)和22(远程桌面服务:收到Shell启动通知)。 1149有点误导,因为它只说有人尝试了RDP,并显示登录屏幕,提示他们输入凭据。
由于Microsoft在日志中的过滤不是简单明了的,因此我使用XML架构对特定用户(在本例中为user)的事件ID 4624(登录)进行过滤。下面是可作为附件使用的模式。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='ieuser')]] and *[System[(EventID='4624')]]
</Select>
</Query>
</QueryList>
我的问题是XML不是我的事。您能帮我完成查询吗,以便我从操作terminalServices-RemoteSessionManager中获得事件21,22,261和1149的另一个OR条件,以便我可以创建一个自定义视图,该视图将给我按时间顺序排列的所有必要ID? >
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)