none
원격 데스크탑 서비스(RDWeb, RD게이트웨이, RD라이선싱)을 구성후, 원격접속 로그(이벤트 뷰어) 확인관련 문의드립니다. RRS feed

  • 질문

  • 원격 데스크탑 서비스(RDWeb, RD게이트웨이, RD라이선싱)을 구성후, 원격접속 로그(이벤트 뷰어) 확인관련 문의드립니다.

    - 내용 : 사용자가 원격데스크탑 접속시 원격 데스크탑 서버(RDWeb과 RD게이트웨이, RD라이선스 모두 같은 서버에 구성)를 통해

               원격할 수 있도록 구성해서 접속자 정보(계정,IP 등), 접속한 PC IP, 작업내역(파일복사 등) 의 이력을 이벤트 로그에 남기고자 함. 

                예를들어, 접속자 PC -> 원격데스크탑서버(이벤트 뷰어 로그 저장) -> 접속된 PC.


    - 문의사항 : 접속자 정보(계정,IP 등), 접속한 PC IP, 작업내역(파일복사 등) 의 이력을 이벤트 로그에 남는게 정상인데,

                     아무리 찾아봐도 로그가 없습니다. 확인해봐야 할 곳이 있을까요?

                     참고로 이벤트 뷰어 보안, 시스템, 응용프로그램도 찾아봤으며, 구글링하여 아래의

                     응용 프로그램 및 서비스 로그 > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational 에도

                     찾아봤지만 로그가 나오지 않습니다.

                     원격 데스크탑 서버에서 추가 설정이 필요한 부분인가요?

    답변주시면 감사합니다.

                    


    2019년 10월 29일 화요일 오전 8:38

답변

  • 안녕하세요,

    제가 이해한 바가 맞다면, RDS 서버에서 접속자의 정보를 확인하고 싶다는 내용이 맞으신가요?

    해당 이벤트 로그의 주소 아래에 아무것도 나오지 않는다면, 혹시 서버 관리자-RD 게이트웨이 관리자의 모니터링 부분에서는 어떻게 나오는지요? 아울러 RD 게이트웨이 관리자에서 RDS 서버를 우클릭- 속성- 감사에서 감사 항목이 체크가 되어 있다면, 응용 프로그램 및 서비스 로그\Microsoft\Windows\Terminal Services-Gateway\ 에서도 정보를 확인해보실 수 있습니다. 다른 방법으로는 통상적인 로그온 이벤트 중, Logon Type이 10 인 항목들을 필터링해서 확인하는 방법 등을 생각해볼 수 있습니다.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772215(v=ws.11)?redirectedfrom=MSDN

    다만, 앞서 설명된 로그는 사용자의 작업 내역을 확인할 수는 없으며, 이는 별도로 감사를 설정하여 확인해보는 방법을 고려할 수 있을 것 같습니다.

    https://docs.microsoft.com/ko-kr/windows/security/threat-protection/auditing/basic-security-audit-policies

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 10월 30일 수요일 오전 1:35
    중재자