請問xp的遠端桌面,有紀錄檔可以查嗎??

**lioushen** · 2004-11-29, 11:29 AM

我曾經找了好久 , 都找不到 , 不曉得有沒有先進能提點一下 ...

**smartgod** · 2004-11-30, 10:45 AM

阿威~
參考如下

搜尋Google "Tslog"

time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我來解釋一下這個文件的含義：

第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統時間（如果不加/t，系統會等待你輸入新的時間），然後我們用追加符號">>"把這個時間記入TSLog.log作為日誌的時間字段；

第二行是記錄用戶的IP地址，netstat是用來顯示當前網絡連接狀況的命令，-n表示顯示IP和端口而不是域名、協議，-ptcp是只顯示tcp協議，然後我們用管道符號"|"把這個命令的結果輸出給find命令，從輸出結果中查找包含":3389"的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數值也要作相應的更改），最後我們同樣把這個結果重定向到日誌文件TSLog.log中去，於是在SLog.log文件中，記錄格式如下：

22:40
TCP　　192.168.12.28:3389　　192.168.10.123:4903　　　ESTABLISHED
22:54
TCP　　192.168.12.28:3389　　 192.168.12.29:1039　　　ESTABLISHED

也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那麼如何讓這個批處理文件自動運行呢？我們知道，終端服務允許我們為用戶自定義起始的程序，在終端服務配置中，我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄後都必須執行這個腳本，因為默認的腳本（相當於shell環境）是Explorer（資源管理器），所以我在TSLog.bat的最後一行加上了啟動Explorer的命令startExplorer，如果不加這一行命令，用戶是沒有辦法進入桌面的！當然，如果你只需要給用戶特定的Shell：

例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統管理員，你完全可以自由發揮你的想像力、自由利用自己的資源，例如寫一個腳本把每個登錄用戶的IP發送到自己的信箱對於重要的伺服器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務設置的權限，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄裡就足夠了，不過需要注意的是這只是一個簡單的終端服務日誌策略，並沒有太多的安全保障措施和權限機制，如果伺服器有更高的安全要求，那還是需要通過編程或購買入侵監測軟件來完成的。

**lioushen** · 2004-11-30, 11:03 AM

非常感謝你提供的資訊 ...
不過 , 微軟對於這類服務 , 沒有自己建立的記錄檔嗎 ??

**smartgod** · 2004-11-30, 11:25 AM

http://support.microsoft.com/default...b;en-us;327508

**fireflybug** · 2004-12-08, 11:29 AM

作者：smartgod

阿威~

time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我來解釋一下這個文件的含義：

也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那麼如何讓這個批處理文件自動運行呢？我們知道，終端服務允許我們為用戶自定義起始的程序，在終端服務配置中，我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄後都必須執行這個腳本，因為默認的腳本（相當於shell環境）是Explorer（資源管理器），所以我在TSLog.bat的最後一行加上了啟動Explorer的命令startExplorer，如果不加這一行命令，用戶是沒有辦法進入桌面的！當然，如果你只需要給用戶特定的Shell：

抱歉，我是初學者，可能有些問題問的不是很好>_<"但有問總是有學到，不問永遠學不到^^"

這部份道理我還能理解一二，但實作不知道該怎麼設才能使 "在終端服務配置中，我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄後都必須執行這個腳本" 這段完成?是否要在AD下設定USER的預設登入模式?如果沒有AD環境，那本機又要如何設定才能使本機電腦只要開啟3389port就會自動記錄呢?不好意思，學藝不精@@希望大大能解惑，謝謝^^"

會對這有興趣是因為坊間的IP分享器很少有做到Port的監控，如果能自己寫，在每台Client端設定，都回報到固定一台24Hr開機的機器上，那蒐集資料就方便多了，當然應該有其他更好的方式，但如果能自己實做而不是靠現成軟體，那會比較有成就感^^"

**lioushen** · 2004-12-08, 12:00 PM

作者：smartgod

http://support.microsoft.com/default...b;en-us;327508

謝謝你提供的資料 , 不過我按照內容處理 , 還是無法有紀錄檔 .
其中下面有這些資訊

APPLIES TO
• Microsoft Windows Server 2003, Enterprise Edition
• Microsoft Windows Server 2003, Datacenter Edition

不曉得是否只能在 windows server 2003 底下使用 ??

**fireflybug** · 2004-12-08, 12:01 PM

剛試XP系統一下，電腦 => 管理 =>使用者 => 設定檔分頁 =>在使用者設定檔的路逕
C:\test
登入指令檔 test.bat

test.bat內容：
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer

結果重登並不會執行test.bat，這部份的觀念我幾乎沒有，很是傷腦筋@@

不過現在才知道windows下也可玩類似Linux的指令@@