记录远程桌面连接登录日志
1、在一个位置上建立一个存放日志和监控程序的目录,比如我在C盘下建立一个RDP的目录
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find "ESTABLISHED" | find ":3389">>RDPlog.txt
rem start Explorer
4.1、2003:
进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中,
切换到“环境”页下,启用“用户登录时启用下列程序”
在程序路径和文件名处填写:C:\RDP\rdplog.bat;并在起始于填写:C:\RDP\
4.2、XP:
打开“组策略”。
在“计算机配置”、“管理模板”、“Windows 组件”、“终端服务”中,
双击“连接时启动程序”设置,然后单击“启用”。
在“程序路径和文件名”框中键入用户登录时要启动的程序的路径和文件名。
在“工作目录”框中,键入所需的工作目录,然后单击“确定”。
完成以上的配置步骤后,当再次登录服务器时就会记录当前登录者的时间和IP。
-a 显示所有连接和监听端口。
-b 显示包含创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独
立组件,并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下,可
执行组件名在底部的 [] 中,顶部是其调用的组件,等等,知道 TCP/IP 部分。注意此选项
可能需要很长时间,如果没有足够权限可能失败。
-e 显示以太网统计信息。此选项可以与 -s 选项组合使用。
-n 以数字形式显示地址和端口号。
-o 显示与每个连接相关的所属进程ID。
-p proto 显示 proto 指定的协议的连接;proto 可以是下列协议之一:TCP、UDP、TCPv6
或 UDPv6。
如果与 -s 选项一起使用以显示按协议统计信息,proto 可以是下列协议之一:
IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。
-r 显示路由表。
-s 显示按协议统计信息。默认地,显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或
UDPv6 的统计信息;
-p 选项用于指定默认情况的子集。
-v 与 -b 选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。
interval 重新显示选定统计信息,每次显示之间暂停时间间隔(以秒计)。按 CTRL+C 停止
重新显示统计信息。
如果省略,netstat 显示当前配置信息(只显示一次)。
可是每次登录时都会有一个DOS的黑窗口一闪而过,很不舒服,怎么去掉它呢?
1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件,内容如下:
Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:\RDP\RDPLog.bat" 0)
2、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
3、切换到“环境”页下,启用“用户登录时启用下列程序”
4、在程序路径和文件名处填写:wscript C:\RDP\RDPLog.vbs;并在起始于填写:C:\RDP\
另外提醒各位:如果想每次登陆都记录访问着的时间和IP,每次退出远程桌面时,都必须选择“注销”用户退出
或者运行 add.reg 导入注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core]
"EnableConcurrentSessions"=dword:00000001
2、重启WinXP进入安全模式,将 C:\Windows\System32 下面的 termsrv.dll 重命名为 termsrv.dll.bak。
3、复制 termsrv.dll.2055 文件到 C:\Windows\System32,并改名为 termsrv.dll。
4、重启计算机。多建立一个帐号用户远程登录,并把这个帐号加入到“Remote Desktop Users”组。
5、第4步还可以这样:右键“我的电脑”属性,点“远程”,点“允许远程桌面”,点“选择远程用户”并加入刚才新建的帐号
6、大功告成。如果远程登录后马上注销退出,可提升登录账户权限试试。
termsrv.dll.2055下载
