none
RDP event log RRS feed

  • Общие обсуждения

  • Приветствую.

    Установлен Терминальный сервер на 2016 сервере. Возникла необходимость настроить логирование всех входов и выходов на RDP на этот термнал.

    Как сделать - отдельный вопрос. Буду писать скрипт на powershell. Вопрос в другом: где найти нужные логи.

    нашел статью, там описывается Microsoft-Windows-TerminalServices-LocalSessionManager/Operational Event ID 40, который, вроде как, подходит по всем параметрам, НО! некоторые события просто не могу найти.
    Например, code 9 - Пользователь не может подключиться к серверу из-за недостаточных прав доступа. У меня этого события просто нет. При этом, смотрел, как на стороне клиента, так и на стороне сервера. 
    Может, нужно включить какой-нибудь аудит входа? 

    В целом, нужно понять, где находятся логи на следующие события:
    - неудачная попытка, если учетная запись отключена
    - неудачная попытка, если учетная запись заблокирована
    - неудачная попытка, если не хватает прав
    - сеанс завершился по таймеру бездействия
    - сеанс завершился по таймеру активного сеанса
    - сеанс завершился по таймеру отключенного сеанса
    - админ завершил сеанс пользователя (кто и кого)

    Сергей Соловьев

    31 марта 2020 г. 14:20

Все ответы

  • Посмотрите это
    31 марта 2020 г. 15:03
  • я читал эту статью. в нет ответов на данный вопрос. мне нужен более глубокий лог, чем там описано. 

    Сергей Соловьев


    • Изменено sergeant21 1 апреля 2020 г. 9:09 опечатка
    1 апреля 2020 г. 9:09
  • Это смотрели?
    1 апреля 2020 г. 9:12
  • Почитал. Много полезной информации. Даже кто то в комментариях дал ссылку на таблицу логов 
    НО! они все упускают один момент. Если пользователь ввел логин и пароль, и они валидные, но не может зайти, потому что не хватает прав, то где этот лог? авторизацию он прошел. Лог есть. Но полноценного подключения то все равно нет) 
    Microsoft-Windows-TerminalServices-LocalSessionManager/Operational событие 40 код 9 должно отвечать на этот вопрос, но я его не вижу в логах!)

    Сергей Соловьев


    • Изменено sergeant21 2 апреля 2020 г. 8:40 дополнение
    2 апреля 2020 г. 8:39
  • Почитал. Много полезной информации. Даже кто то в комментариях дал ссылку на таблицу логов 
    НО! они все упускают один момент. Если пользователь ввел логин и пароль, и они валидные, но не может зайти, потому что не хватает прав, то где этот лог? авторизацию он прошел. Лог есть. Но полноценного подключения то все равно нет) 
    Microsoft-Windows-TerminalServices-LocalSessionManager/Operational событие 40 код 9 должно отвечать на этот вопрос, но я его не вижу в логах!)

    Сергей Соловьев

    возможно вы его не видите из-за того что такое явление не встречалось на ваших серверах? Вы к слову логи rdcb?

    The opinion expressed by me is not an official position of Microsoft

    2 апреля 2020 г. 9:41
    Модератор