lioushen
2004-11-29, 11:29 AM
我曾經找了好久 , 都找不到 , 不曉得有沒有先進能提點一下 ...
贊助商連結
贊助商連結
|
贊助商連結 lioushen 2004-11-29, 11:29 AM 我曾經找了好久 , 都找不到 , 不曉得有沒有先進能提點一下 ... 贊助商連結 smartgod 2004-11-30, 10:45 AM 阿威~ 參考如下 :) 搜尋Google "Tslog" time /t >>TSLog.log netstat -n -p tcp | find ":3389">>TSLog.log start Explorer 我來解釋一下這個文件的含義: 第一行是記錄用戶登錄的時間,time /t的意思是直接返回系統時間(如果不加/t,系統會等待你輸入新的時間),然後我們用追加符號">>"把這個時間記入TSLog.log作為日誌的時間字段; 第二行是記錄用戶的IP地址,netstat是用來顯示當前網絡連接狀況的命令,-n表示顯示IP和端口而不是域名、協議,-ptcp是只顯示tcp協議,然後我們用管道符號"|"把這個命令的結果輸出給find命令,從輸出結果中查找包含":3389"的行(這就是我們要的客戶的IP所在的行,如果你更改了終端服務的端口,這個數值也要作相應的更改),最後我們同樣把這個結果重定向到日誌文件TSLog.log中去,於是在SLog.log文件中,記錄格式如下: 22:40 TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED 22:54 TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED 也就是說只要這個TSLog.bat文件一運行,所有連在3389端口上的IP都會被記錄,那麼如何讓這個批處理文件自動運行呢?我們知道,終端服務允許我們為用戶自定義起始的程序,在終端服務配置中,我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本,這樣每個用戶登錄後都必須執行這個腳本,因為默認的腳本(相當於shell環境)是Explorer(資源管理器),所以我在TSLog.bat的最後一行加上了啟動Explorer的命令startExplorer,如果不加這一行命令,用戶是沒有辦法進入桌面的!當然,如果你只需要給用戶特定的Shell: 例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法,作為系統管理員,你完全可以自由發揮你的想像力、自由利用自己的資源,例如寫一個腳本把每個登錄用戶的IP發送到自己的信箱對於重要的伺服器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務設置的權限,所以他不會知道你對登錄進行了IP審核,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄裡就足夠了,不過需要注意的是這只是一個簡單的終端服務日誌策略,並沒有太多的安全保障措施和權限機制,如果伺服器有更高的安全要求,那還是需要通過編程或購買入侵監測軟件來完成的。 lioushen 2004-11-30, 11:03 AM 非常感謝你提供的資訊 ... 不過 , 微軟對於這類服務 , 沒有自己建立的記錄檔嗎 ?? smartgod 2004-11-30, 11:25 AM http://support.microsoft.com/default.aspx?scid=kb;en-us;327508 fireflybug 2004-12-08, 11:29 AM 阿威~ time /t >>TSLog.log netstat -n -p tcp | find ":3389">>TSLog.log start Explorer 我來解釋一下這個文件的含義: 也就是說只要這個TSLog.bat文件一運行,所有連在3389端口上的IP都會被記錄,那麼如何讓這個批處理文件自動運行呢?我們知道,終端服務允許我們為用戶自定義起始的程序,在終端服務配置中,我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本,這樣每個用戶登錄後都必須執行這個腳本,因為默認的腳本(相當於shell環境)是Explorer(資源管理器),所以我在TSLog.bat的最後一行加上了啟動Explorer的命令startExplorer,如果不加這一行命令,用戶是沒有辦法進入桌面的!當然,如果你只需要給用戶特定的Shell: 抱歉,我是初學者,可能有些問題問的不是很好>_<"但有問總是有學到,不問永遠學不到^^" 這部份道理我還能理解一二,但實作不知道該怎麼設才能使 "在終端服務配置中,我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本,這樣每個用戶登錄後都必須執行這個腳本" 這段完成?是否要在AD下設定USER的預設登入模式?如果沒有AD環境,那本機又要如何設定才能使本機電腦只要開啟3389port就會自動記錄呢?不好意思,學藝不精@@希望大大能解惑,謝謝^^" 會對這有興趣是因為坊間的IP分享器很少有做到Port的監控,如果能自己寫,在每台Client端設定,都回報到固定一台24Hr開機的機器上,那蒐集資料就方便多了,當然應該有其他更好的方式,但如果能自己實做而不是靠現成軟體,那會比較有成就感^^" lioushen 2004-12-08, 12:00 PM http://support.microsoft.com/default.aspx?scid=kb;en-us;327508 謝謝你提供的資料 , 不過我按照內容處理 , 還是無法有紀錄檔 . 其中下面有這些資訊 APPLIES TO • Microsoft Windows Server 2003, Enterprise Edition • Microsoft Windows Server 2003, Datacenter Edition 不曉得是否只能在 windows server 2003 底下使用 ?? fireflybug 2004-12-08, 12:01 PM 剛試XP系統一下,電腦 => 管理 =>使用者 => 設定檔分頁 =>在使用者設定檔的路逕 C:\test 登入指令檔 test.bat test.bat內容: time /t >>TSLog.log netstat -n -p tcp | find ":3389">>TSLog.log start Explorer 結果重登並不會執行test.bat,這部份的觀念我幾乎沒有,很是傷腦筋@@ 不過現在才知道windows下也可玩類似Linux的指令@@ |
|
|