■ リモートデスクトップの接続を監視する

誰が?いつ?リモートデスクトップで接続したか確認したい


[イベント ビューアー]
→ [Windows ログ]
→ [セキュリティ]
・イベントID "4624"? (たぶん)
・タスクのカテゴリ "ログオン"
・[詳細]情報の "EventData" → "LogonType" が "10" であればリモートログインの情報となる。
"IpAddress"で接続元IPアドレスがわかる
※ LoginTypeについては こちら を参照。

リモートデスクトップでログオフせずに[X]で閉じたら…
イベントID "4634" (ログオフ) LogonType="3" のログが残っているが、これでいいのかなぁ?
でもTargetLogonIdが違うからダメかな。

もう少しイベントログを解析。
リモートデスクトップ接続・切断をもう一度やってみて、イベント記録順を見てみる。
(サーバー側コンソールにてログインした状態で、クライアントからリモート接続した場合)
・4672 特殊なログオン (SubjectLogonId="0x2d79b5")
・4624 ログオン (TargetLogonId="0x2d79b5" LogonType="3" IpAddress="-")
・4634 ログオフ (TargetLogonId="0x2d79b5" LogonType="3")
TargetLogonId="0x2d79b5"がサーバ側でログインした時のLogonIdと思われる。

・4672 特殊なログオン (SubjectLogonId="0x2d7a6c")
・4624 ログオン (TargetLogonId="0x2d7a6c" LogonType="3" IpAddress="-")
・4648 ログオン (SubjectLogonId="0x3e7" IpAddress="クライアントIP")
・4624 ログオン (SubjectLogonId="0x3e7" TargetLogonId="0x2d9238" LogonType="10" IpAddress="クライアントIP")
・4672 特殊なログオン (SubjectLogonId="0x2d9238")
リモート接続すると、LogonId="0x2d7a6c"、"0x3e7"、"0x2d9238"の3つのLogonIdが割り当てられた。
もしかすると"0x3e7"は、サーバ側ログイン時に割り当てられたLogonIdかもしれない。
LogonType="10"のログに書き込まれた"0x2d9238"がリモートデスクトップのIDだろう。

ここでリモートデスクトップを[X]終了し、サーバ側コンソールでログイン。
・4634 ログオフ (TargetLogonId="0x2d9238" LogonType="10")
・4634 ログオフ (TargetLogonId="0x2d7a6c" LOgonType="3")
リモートデスクトップを[X]で終了すると、LogonId="0x2d9238"、"0x2d7a6c"の2つのLogonIdのログオフが記録される。
LogonType="10"、LogonId="0x2d9238"がリモートデスクトップ終了と思われる。
LogonType="10のでログオフイベントがあればリモートデスクトップは終了と思ってよさそう。

引き続いてログイン時のイベントログ
・4648 ログオン (SubjectLogonId="0x3e7" IpAddress="127.0.0.1")
・4624 ログオン (SubjectLogonId="0x3e7" TargetLogonId="0x2e40a4" LogonType="2" IpAddress="127.0.0.1")
・4672 特殊なログオン (SubjectLogonId="0x2e40a4")
・4634 ログオフ (TargetLogonId="0x2e40a4" LogonType="2")
リモートで接続していたデスクトップをサーバ側コンソールで引き継いで使用するため、同じLogonId="0x3e7"を使用しログインしているのかな?
その後、新たに"0x2e40a4"が特殊なログオンとして割り当てられ、すぐにログオフとなっているが、理由がわからない。

サーバのコンソールにログインしなくても、クライアント側からサーバのイベントログを見れるようにして、もう一度やってみる。

サーバ側をログオフ
→ クライアント側からサーバのイベントログをすべて消去
→ クライアントからリモート接続
→ クライアント側からサーバのイベントログを表示(最新の情報に更新)
・4672 特殊なログオン (SubjectLogonId="0x34ba66")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="0x34ba66" LogonType="3" IpAddress="クライアントIP")
・4672 特殊なログオン (SubjectLogonId="0x34baab")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="0x34baab" LogonType="3" IpAddress="クライアントIP")
・4634 ログオフ (TargetLogonId="0x29282e" LogonType="2")
・4634 ログオフ (TargetLogonId="0x34ba66" LogonType="3")
・4634 ログオフ (TargetLogonId="ox34baab" LogonType="3")
・4672 特殊なログオン (SubjectLogonId="0x34c365")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="ox34c365 LogonType="3" IpAddress="-"")
・4634 ログオフ (TargetLogonId="0x34c365" LogonType="3")
ログオン・ログオフが繰り返されるが、この中にはイベントログへの接続情報も含まれていると思われる。

・4672 特殊なログオン (SubjectLogonId="0x34c514")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="0x34c514" LogonType="3" IpAddress="-")
・4648 ログオン (SubjectLogonId="0x3e7" IpAddress="クライアントIP")
・4624 ログオン (SubjectLogonId="0x3e7" TargetLogonId="0x34d99b" LogonType="10" IpAddress="クライアントIP")
・4672 特殊なログオン (SubjectLogonId="0x34d99b")
"0x3c514"、"0x3e7"、"0x34d99b"でログオンが発生。(リモートデスクトップのLogonIdは"0x34d99b")
SubjectLogonId="0x3e7"は先ほどと同じIDなので、Windows起動時に割り当てられたIDかもしれない。

リモートデスクトップをログオフ終了し、イベントログを更新
・4647 ログオフ (TargetLogonId="0x34d99b")
・4634 ログオフ (TargetLogonId="0x34c514" LogonType="3")
・4634 ログオフ (TargetLogonId="0x34d99b" LogonType="10")
"0x34d99b"、"0x34c514"がログオフされる。

結局は LogonType="10" のログを監視すれば、リモートデスクトップの接続・切断を監視できそうか。


リモートデスクトップ

0 件のコメント:

その他の記事