终端方式登录windows服务器的日志记录
封面图
•
2025-12-01
•
Windows
214
0
0
0
在Windows服务器中,通过**终端方式**(如远程桌面协议 RDP、SSH、Telnet、PowerShell Remoting 等)登录时,系统会记录相关的日志信息。这些日志可以帮助管理员监控和审计用户的访问行为。 以下是几种常见的终端登录方式及其对应的日志记录位置: --- ## 一、RDP(远程桌面协议)登录日志 ### 1. **事件查看器(Event Viewer)** - **路径**:`Windows Logs > Security` - **事件ID**: - **4624**:用户成功登录(包括RDP) - **4625**:用户登录失败 - **4634**:用户注销(包括RDP会话结束) ### 2. **日志内容示例**: - 用户名、登录时间、来源IP地址(如果启用了网络级身份验证)、登录类型等。 - 登录类型: - **3**:交互式登录(本地登录) - **10**:网络登录(如RDP) - **7**:远程交互式登录(RDP) > ⚠️ 注意:要查看这些日志,需要启用“安全日志”并确保其没有被清空或限制。 --- ## 二、SSH 登录(使用 OpenSSH Server 或第三方 SSH 服务) ### 1. **日志位置**: - 默认日志路径:`C:\ProgramData\ssh\logs\sshd.log` ### 2. **日志内容**: - 包含连接尝试、认证信息、用户登录/登出等。 - 示例内容: ``` Accepted password for user from 192.168.1.100 port 55555 ssh2 ``` > 如果未安装OpenSSH Server,则可能没有相关日志。 --- ## 三、PowerShell Remoting 登录 ### 1. **日志位置**: - **事件查看器**: - `Windows Logs > System` - **事件ID**:`104`(PowerShell 远程命令执行) ### 2. **日志内容**: - 包括执行的命令、用户、来源IP、时间戳等。 --- ## 四、Telnet 登录(不推荐,安全性低) ### 1. **日志位置**: - Telnet 本身不记录详细日志,但可以通过以下方式追踪: - 使用**事件查看器**(System 日志)查找与 Telnet 相关的事件。 - 在注册表中配置 Telnet 服务的日志选项(需手动设置)。 --- ## 五、其他方式(如 VNC、TeamViewer 等) - 这些工具通常有自己的日志系统,具体路径取决于软件安装位置。 - 例如: - TeamViewer:`C:\Program Files (x86)\TeamViewer\log` - VNC:`C:\Program Files\RealVNC\VNC Server\Logs` --- ## 六、如何启用和查看日志 ### 1. 启用安全日志(适用于 RDP 和 PowerShell): - 打开 **组策略编辑器**(`gpedit.msc`): - 路径:`Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy` - 启用 **审核账户登录事件** 和 **审核登录事件** ### 2. 查看日志: - 打开 **事件查看器**(`eventvwr.msc`) - 导航到 `Windows Logs > Security` 或 `System` --- ## 七、使用 PowerShell 查询登录记录 ```powershell # 查询最近的登录事件(RDP) Get-WinEvent -LogName "Security" | Where-Object { $_.Id -eq 4624 -and $_.TimeCreated -ge (Get-Date).AddDays(-7) } | Format-List TimeCreated, Message ``` --- ## 总结 | 登录方式 | 日志位置 | 关键事件ID | |--------------|--------------------------------------|------------------| | RDP | 事件查看器(Security) | 4624, 4625, 4634 | | SSH | `C:\ProgramData\ssh\logs\sshd.log` | 无固定ID | | PowerShell | 事件查看器(System) | 104 | | Telnet | 事件查看器(System) | 无固定ID | --- 如果你有特定的登录方式或工具(如 Citrix、VMware vSphere、Azure Bastion 等),也可以告诉我,我可以提供更具体的日志路径。
上一篇:
存放Linux源代码目录 介绍
下一篇:
HookPort 服务是做什么的?启动失败又是什么原因
标题录入,一次不能超过6条
留言
评论