RDP мониторинг и анализ / Windows

ReSQL.ru

2.0.59

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Windows [игнор отключен] [закрыт для гостей] / RDP мониторинг и анализ / 3 сообщений из 3, страница 1 из 1

23.06.2014, 08:56

#38676861

MaxVal

Гость

RDP мониторинг и анализ

Тема должно быть уже избита, но решений я так и не нашел. (((
Server 2008 как сервер терминалов.
Ищется удобный инструмент (программа, скрипт, анализатор логов и т.д.) для отслеживания и анализа подключений (и попыток подключений) к серверу терминалов.
Задачи:
1. Мониторинг подключенных клиентов (кто, когда, откуда подключился).
2. Анализ попыток входа клиентов (попытки подбора пароля).
3. Оповещения (по возможности).
Я понимаю, что вся эта информация есть в логах, но смотреть там жуть как неудобно, да и нужно чем-то обрабатывать информацию в логах в режиме онлайн.
Кто сталкивался и победил поделитесь, пожалуйста, опытом..., ссылками )))))
Гарантирую +10 к карме!

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

24.06.2014, 12:17

#38678348

aleks2

Участник

Сообщения: 12 453
Рейтинг: 0 / 0

RDP мониторинг и анализ

Если бы отличить злонамеренное подключение от подключения упертого лоха-пользователя было бы лехко - хакеры уже давно бы вмерли.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

24.06.2014, 19:51

#38678965

неТолик1

Гость

RDP мониторинг и анализ

MaxVal,

MaxVal2. Анализ попыток входа клиентов (попытки подбора пароля).

Вот когдато написал и пользовался будучи ещё винадмином.
Если пригодится буду рад.

Код: vbnet

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.

Dim objEmail
Set objEmail = WScript.CreateObject("CDO.Message")
objEmail.From = "Отправитель <server@sql.ru>;"
objEmail.To = "Получатель <admin@sql.ru>;"
objEmail.Subject = "Хозяин неправильно ввели пароль 3 раза. Лови отчёт."
objEmail.BodyPart.Charset = "windows-1251"
objEmail.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
objEmail.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "localhost"
objEmail.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
objEmail.Configuration.Fields.Item("urn:schemas:mailheader:content-language") = "windows-1251"
objEmail.Configuration.Fields.Update
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate, (Security)}!\\" & _
        strComputer & "\root\cimv2")

Set colMonitoredEvents = objWMIService.ExecNotificationQuery _    
    ("Select * from __instancecreationevent where " _
        & "TargetInstance isa 'Win32_NTLogEvent' " _
            & "and TargetInstance.EventCode = '4625' ")
i=0
Do	
	i=i+1
    Set objLatestEvent = colMonitoredEvents.NextEvent
		strAlertToSend = objLatestEvent.TargetInstance.User _ 
		& "Запись №.: " & objLatestEvent.TargetInstance.RecordNumber & VbCrLf _
		& objLatestEvent.TargetInstance.TimeWritten & VbCrLf _ 
		& "Источник: " & objLatestEvent.TargetInstance.SourceName & VbCrLf _
		& "Категория: " & objLatestEvent.TargetInstance.CategoryString & VbCrLf _
		& "Тип события: " & objLatestEvent.TargetInstance.Type & VbCrLf _
		& "Компьютер: " & objLatestEvent.TargetInstance.ComputerName & VbCrLf _
		& "Пользователь: " & objLatestEvent.TargetInstance.User & VbCrLf _
		& "Сообщение: " & objLatestEvent.TargetInstance.Message
		if (i = 3) then			
			objEmail.Textbody = strAlertToSend			
			objEmail.Send
			'Wscript.Echo "Сообщение отослано"
			i=0
		End If		
Loop

коротко:
Мониториться журнал событий виндовс, при возникновении события (ий ) 4625 (трижды). отправляется отчет на емайл.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Форумы / Windows [игнор отключен] [закрыт для гостей] / RDP мониторинг и анализ / 3 сообщений из 3, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&tablet=1&tid=1494651]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	35ms
get topic data:	12ms
get forum data:	2ms
get page messages:	45ms
get tp. blocked users:	1ms
others:	232ms

total:	358ms