Remote Desktop Activity Log là Nhật ký hoạt động của các kết nối Remote Desktop, ghi lại những hoạt động của kết nối điều khiển máy tính từ xa. Là một quản trị viên hệ thống, bạn không thể bỏ qua những log này, hãy cùng tôi tìm hiểu về những điều đáng chú ý để ứng dụng vào thực tế nhé.

Bài viết này có thể ứng dụng khi phân tích log RDP (Remote Desktop Protocol) trên Windows Server 2008 R2, 2012/R2, 2016 và trên phiên bản Windows Desktop (Windows 10, 8.1 and 7).

Khi người dùng thực hiện kết nối Remote Desktop, toàn bộ hoạt động sẽ được lưu lại trong Windows Event Viewer. Chúng ta có thể kiểm tra các kết nối RDP bằng cách sử dụng Event Viewer (eventvwr.msc), và xem chi tiết log và event chính như sau:

  • Network Connection
  • Authentication
  • Logon
  • Session Disconnect/Reconnect
  • Logoff

1. Network Connection

  • Network connection là một kết nối từ máy khách RDP tới máy chủ.
  • EventID 1149 (Remote Desktop Services: User authentication succeeded).
  • Ý nghĩa: cho biết có một kết nối RDP từ người dùng, nhưng chưa biết kết nối đó thành công hoặc không.
  • Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operational
windows event log Terminal-Services-RemoteConnectionManager filtering
  • Chi tiết event cung cấp user, domain, và địa chỉ IP của người dùng kết nối tới:
EventID 1149 - Remote Desktop Services: User authentication succeeded

2. Authentication

  • Ý nghĩa: cho biết kết quả xác thực thành công hoặc không.
  • EventID 4624 (An account was successfully logged on): xác thực thành công.
  • EventID 4625 (An account failed to log on): xác thực không thành công.
  • Vị trí log: Windows -> Security
  • Chú ý giá trị LogonType trong phần mô tả của một event:
    • LogonType = 10: một session mới được tạo.
    • LogonType = 7: người dùng kết nối lại vào một session đã tồn tại.
security log: rdp logon event with the username and ip adress of the remote client

Mô tả event cho biết:

  • Account Name: tên người dùng.
  • Workstation Name: tên máy tính.
  • Source Network Address: địa chỉ IP.

Lưu ý giá trị của TargetLogonID, là một ID duy nhất của RDP session, giúp theo dõi các hoạt động tiếp theo của người dùng. Tuy nhiên, nếu một RDP session bị ngắt kết nối, và người dùng kết nối lại, session đó sẽ được gán một TargetLogonID mới (mặc dù RDP session vẫn giống nhau).

3. Logon

  • Ý nghĩa: người dùng đăng nhập vào hệ thống, event xuất hiện sau khi người dùng đã xác thực thành công.
  • EventID 21 (Remote Desktop Services: Session logon succeeded): đăng nhập thành công.
  • EventID 21 (Remote Desktop Services: Shell start notification received): màn hình desktop đã xuất hiện trong RDP session.
  • Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
  • Event cho biết SessionID là ID của RDP session.
EventID 21 - Remote Desktop Services: Session logon succeeded

4. Session Disconnect/Reconnect

Các event ngắt kết nối và kết nối lại có các ID khác nhau tùy thuộc vào nguyên nhân gây ra ngắt kết nối.

Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational

  • EventID 24 (Remote Desktop Services: Session has been disconnected): người dùng kết thúc phiên đăng nhập.
  • EventID 25 (Remote Desktop Services: Session reconnection succeeded): người dùng kết nối lại vào RDP session đã tồn tại.
  • EventID 39 (Session <A> has been disconnected by session <B>): người dùng kết thúc phiên đăng nhập bằng cách chọn tùy chọn trên menu tương ứng (thay vì đóng cửa sổ RDP client). Nếu ID phiên đăng nhập khác nhau, người dùng đã bị ngắt kết nối từ một người dùng khác (hoặc administrator).
  • EventID 40 (Session <A> has been disconnected, reason code <B>):
    • reason code 0 (No additional information is available): người dùng đã đóng cửa sổ RDP client.
    • reason code 5 (The client’s connection was replaced by another connection): người dùng đã kết nối lại vào RDP session trước đó.
    • reason code 11 (User activity has initiated the disconnect): người dùng đã click vào nút Disconnect trên start menu.
  • Trong Windows -> Security log, EventID 4778 (A session was reconnected to a Window Station): người dùng đã kết nối lại vào RDP session (người dùng được gán một LogonID mới).
  • Trong Windows -> Security log, EventID 4799 (A session was disconnected from a Window Station): người dùng đã ngắt kết nối từ một RDP session.

5. Logoff

  • Ý nghĩa: người dùng đăng xuất khỏi hệ thống.
  • EventID 23 (Remote Desktop Services: Session logoff succeeded)
  • Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
EventID 23 - Remote Desktop Services: Session logoff succeeded
  • Cùng thời điểm đó, trong Security Log cũng xuất hiện EventID 4634 (An account was logged off).
  • Trong System Log, EventID 9009 (The Desktop Window Manager has exited with code <X>): thời điểm này người dùng bắt đầu đăng xuất, cả window và graphic shell đã bị đóng.

Lời kết

Như vậy chúng ta cũng đã tìm hiểu qua một số Event log đáng chú ý, rất hữu ích khi theo dõi và phân tích hoạt động liên quan đến Remote Desktop, hay khi người quản trị viên hệ thống phải lấy thông tin người dùng đăng nhập vào RDS Server,…

Nếu có những kinh nghiệm về kiểm tra Event Log, các bạn hãy comment phía bên dưới để cùng trao đổi nhé.

Tài liệu tham khảo

  1. http://woshub.com/rdp-connection-logs-forensics-windows/