RDP мониторинг и анализ / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / RDP мониторинг и анализ

3 сообщений из 3, страница 1 из 1

RDP мониторинг и анализ

#38676861

MaxVal

Гость

Тема должно быть уже избита, но решений я так и не нашел. (((
Server 2008 как сервер терминалов.
Ищется удобный инструмент (программа, скрипт, анализатор логов и т.д.) для отслеживания и анализа подключений (и попыток подключений) к серверу терминалов.
Задачи:
1. Мониторинг подключенных клиентов (кто, когда, откуда подключился).
2. Анализ попыток входа клиентов (попытки подбора пароля).
3. Оповещения (по возможности).
Я понимаю, что вся эта информация есть в логах, но смотреть там жуть как неудобно, да и нужно чем-то обрабатывать информацию в логах в режиме онлайн.
Кто сталкивался и победил поделитесь, пожалуйста, опытом..., ссылками )))))
Гарантирую +10 к карме!

...

Рейтинг:

0 / 0

23.06.2014, 08:56

| Ответить | Цитировать | Написать

RDP мониторинг и анализ

#38678348

aleks2

Участник

Сообщения: 12 453

Рейтинг: 0 / 0

Если бы отличить злонамеренное подключение от подключения упертого лоха-пользователя было бы лехко - хакеры уже давно бы вмерли.

...

Рейтинг:

0 / 0

24.06.2014, 12:17

| Ответить | Цитировать | Написать

RDP мониторинг и анализ

#38678965

неТолик1

Гость

MaxVal,

MaxVal2. Анализ попыток входа клиентов (попытки подбора пароля).

Вот когдато написал и пользовался будучи ещё винадмином.
Если пригодится буду рад.

Код: vbnet

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.

Dim objEmail
Set objEmail = WScript.CreateObject("CDO.Message")
objEmail.From = "Отправитель <server@sql.ru>;"
objEmail.To = "Получатель <admin@sql.ru>;"
objEmail.Subject = "Хозяин неправильно ввели пароль 3 раза. Лови отчёт."
objEmail.BodyPart.Charset = "windows-1251"
objEmail.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
objEmail.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "localhost"
objEmail.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
objEmail.Configuration.Fields.Item("urn:schemas:mailheader:content-language") = "windows-1251"
objEmail.Configuration.Fields.Update
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate, (Security)}!\\" & _
        strComputer & "\root\cimv2")

Set colMonitoredEvents = objWMIService.ExecNotificationQuery _    
    ("Select * from __instancecreationevent where " _
        & "TargetInstance isa 'Win32_NTLogEvent' " _
            & "and TargetInstance.EventCode = '4625' ")
i=0
Do	
	i=i+1
    Set objLatestEvent = colMonitoredEvents.NextEvent
		strAlertToSend = objLatestEvent.TargetInstance.User _ 
		& "Запись №.: " & objLatestEvent.TargetInstance.RecordNumber & VbCrLf _
		& objLatestEvent.TargetInstance.TimeWritten & VbCrLf _ 
		& "Источник: " & objLatestEvent.TargetInstance.SourceName & VbCrLf _
		& "Категория: " & objLatestEvent.TargetInstance.CategoryString & VbCrLf _
		& "Тип события: " & objLatestEvent.TargetInstance.Type & VbCrLf _
		& "Компьютер: " & objLatestEvent.TargetInstance.ComputerName & VbCrLf _
		& "Пользователь: " & objLatestEvent.TargetInstance.User & VbCrLf _
		& "Сообщение: " & objLatestEvent.TargetInstance.Message
		if (i = 3) then			
			objEmail.Textbody = strAlertToSend			
			objEmail.Send
			'Wscript.Echo "Сообщение отослано"
			i=0
		End If		
Loop

коротко:
Мониториться журнал событий виндовс, при возникновении события (ий ) 4625 (трижды). отправляется отчет на емайл.

...

Рейтинг:

0 / 0

24.06.2014, 19:51

| Ответить | Цитировать | Написать

3 сообщений из 3, страница 1 из 1

Форумы / Windows [игнор отключен] [закрыт для гостей] / RDP мониторинг и анализ

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&fpage=69&tid=1494651]:	0ms
get settings:	9ms
get forum list:	12ms
check forum access:	4ms
check topic access:	4ms
track hit:	30ms
get topic data:	11ms
get forum data:	2ms
get page messages:	39ms
get tp. blocked users:	2ms
others:	227ms

total:	340ms