Hoe u logboeken van externe bureaubladverbindingen in Windows kunt volgen en analyseren

Hoe u RDP-verbindingslogboeken in Windows kunt verkrijgen en controleren: praktische tips

Het achterhalen wie er via RDP op uw Windows-server of -desktop is ingelogd, kan soms een ware zoektocht zijn. Gebeurtenislogboeken kunnen overweldigend of gewoonweg onduidelijk zijn. Het doel is om uw RDP-verbindingsgeschiedenis te begrijpen zonder al te veel frustratie. Of het nu gaat om beveiligingsaudits of gewoon om te weten wie er is ingelogd, het openen en begrijpen van deze logboeken kan in eerste instantie aanvoelen als het ontcijferen van hiërogliefen. Maar met een paar trucs krijgt u een vrij duidelijk beeld van externe sessies, het begin en einde ervan, en wie erbij betrokken was. Bovendien is het handig om te weten hoe u verdachte activiteiten of brute-force-aanvallen kunt filteren, want Windows maakt de beveiligingslogboeken natuurlijk soms ook onoverzichtelijk. Klaar om deze logboeken te doorgronden? Laten we het stap voor stap bekijken.

Hoe u logboeken van Extern bureaublad in Windows kunt herstellen of openen

RDP-verbindingsgebeurtenissen in de Windows Logboeken

Logboeken zijn je beste vriend als je RDP-activiteit wilt bijhouden. Wanneer gebruikers verbinding maken met of de verbinding verbreken met een server of desktop, registreert Windows dit in specifieke logboeken die je kunt doorzoeken. De logboeken zijn onderverdeeld in categorieën zoals ‘Toepassings- en servicelogboeken’ en ‘Beveiliging’, wat niet handig is als je niet weet waar je moet zoeken. Maar hier is een korte tip: de logboeken die je nodig hebt, vind je meestal onder deze paden:

• Toepassings- en servicelogboeken —> Microsoft —> Windows —> TerminalServices-RemoteConnectionManager —> Operationeel
• Windows —> Beveiliging (voor succesvolle/mislukte aanmelding, gebeurtenis-ID 4624, 4625, enz.)
• Toepassings- en servicelogboeken —> Microsoft —> Windows —> TerminalServices-LocalSessionManager —> Operationeel
• Microsoft-Windows-TerminalServices-Gateway (voor RD Gateway-logboeken, gebeurtenis-ID 302, 300, 303, enz.)

Wat helpt hierbij? Schakel logboekfiltering in voor specifieke gebeurtenis-ID’s zoals 1149 (netwerkverbinding), 4624 (succesvolle aanmelding), 24 (sessie verbroken) of 23 (afmelden).Als je net zo lui bent als ik, is het ophalen van deze logboeken via PowerShell sneller dan eindeloos door menu’s te klikken.

De RDP-verbindingsgeschiedenis ophalen met PowerShell

Nu we het toch over PowerShell hebben, dat is de snelste manier om een ​​snel overzicht te krijgen van RDP-activiteit. Hier is een eenvoudig script dat uw beveiligingsgebeurtenislogboeken doorzoekt naar gebeurtenissen zoals 4624 (succesvolle aanmelding) en 4778 (sessie opnieuw verbonden), met een filter voor aanmeldingstype 10 (RDP op afstand).Zo ziet u wie er is ingelogd, vanaf waar en wanneer, allemaal in een overzichtelijke tabel – zonder grafische interface.

Get-EventLog -LogName Security -after (Get-Date).Date | ?{ $_. EventID -eq 4624 -or $_. EventID -eq 4778 } | ?{ $_. Message -match 'Logon Type:\s+10' } | %{ [PSCustomObject]@{ Time = $_. TimeGenerated User = ($_. Message -match 'Account Name:\s+([^\s]+)')[1] Domain = ($_. Message -match 'Account Domain:\s+([^\s]+)')[1] SourceIP = ($_. Message -match 'Source Network Address:\s+([^\s]+)')[1] LogonType = ($_. Message -match 'Logon Type:\s+([^\s]+)')[1] } } | sort Time -Descending | Format-Table -AutoSize

Dit script is rudimentair, maar werkt op één server tegelijk. Als je een serverpark met RDS-servers beheert, kun je het aanpassen of op afstand uitvoeren via PowerShell Remoting. Het is een momentopname die laat zien wie wanneer verbinding heeft gemaakt, vanaf welk IP-adres en met welk account. Handig, toch?

RDP-logbestanden exporteren en analyseren

Wil je deze gegevens in Excel analyseren? Geen probleem. Je kunt je gebeurtenislogboeken exporteren naar CSV-bestanden. Gebruik bijvoorbeeld:

Export-Csv -Path c:\logs\rdp_connections.csv -InputObject (Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational' | Select-Object * )

Of analyseer logbestanden via de commandoregel met:

WEVTUtil query-events Security > c:\ps\rdp_security_log.txt

Het belangrijkste is dat het na export gemakkelijker is om te filteren, te analyseren en afwijkingen of patronen te ontdekken in aanmeldtijden, IP-adressen of verbindingsverbrekingsgedrag van gebruikers. Als gebruikers verbinding maken via een RD Gateway, vergeet dan niet de gebeurtenissen in Microsoft-Windows-TerminalServices-Gateway/Operational te controleren.

Hoe u de geschiedenis van uitgaande RDP-verbindingen kunt bijhouden

Dit onderdeel is minder bekend, maar ook nuttig. De gebeurtenissen die op uw lokale computer worden vastgelegd onder Microsoft-Windows-TerminalServices-RDPClient kunnen u vertellen of een gebruiker uw pc als RDP-client heeft gebruikt om verbinding te maken met een externe server. Gebeurtenis-ID 1102 is hier de bron. Dit is een beetje vreemd, maar het registreert RDP-clientsessies die vanaf uw Windows-computer zijn gestart, inclusief IP-adressen van externe servers en tijdstempels.

Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RDPClient/Operational' -FilterHashTable @{ID=1102} | Select-Object TimeCreated, UserID, Properties

Het inzien van deze logbestanden kan nuttig zijn als u vermoedt dat uw systeem wordt gebruikt voor ongeautoriseerde externe verbindingen, of als u gewoon de uitgaande RDP-activiteit in de gaten wilt houden, aangezien er soms ook activiteit aan de clientzijde plaatsvindt.

Waar het nu eigenlijk om draait? RDP-logs zijn niet zomaar logs; het is een ware schat aan informatie als je weet waar je moet zoeken en hoe je de relevante gegevens eruit haalt. Bovendien zijn ze handig voor het oplossen van problemen of het opsporen van ongeautoriseerde toegangspogingen zonder dat je de grote beveiligingsprogramma’s hoeft in te zetten.

Samenvatting

• Controleer de gebeurtenislogboeken in de Event Viewer op gebeurtenissen met betrekking tot verbindingen, aanmeldingen, verbrekingen en afmeldingen.
• Gebruik PowerShell-scripts om snel de verbindingsgeschiedenis te verzamelen en logboeken te exporteren voor verdere analyse.
• Vergeet niet om ook de uitgaande RDP-sessies te bekijken voor volledige controle over de activiteiten op afstand.

Samenvatting

Het analyseren van RDP-verbindingslogboeken kan een hele klus zijn, maar het is noodzakelijk voor de beveiliging en audits. Als je eenmaal weet naar welke gebeurtenissen je moet zoeken en hoe je ze kunt filteren, is het verrassend goed te doen. Deze logboeken kunnen je vertellen wie er heeft rondgesnuffeld, wanneer en vanaf welke locatie – nuttige informatie, of je nu aan het debuggen bent of gewoon paranoïde. Het is niet perfect, maar het is beter dan in het duister tasten. Hopelijk bespaart dit iemand urenlange frustratie.