Windows’ta RDP bağlantılarını günlükler üzerinden denetleme ve analiz etmeyi bugün ele alacağız. Bir kullanıcının hangi ip adresi kullandığını görebiliriz ve buna bağlı bir takım bilgileri de alabiliriz, bunun kayıtları olay günlüklerinde yer almaktadır. Windows VPS/VDS makinelerinde RDP bağlantıları çok popüler olduğunu unutmayalım. Windows günlükleri çok fazla veri içereceğini hatırlatırım ve ihtiyacınız olan olayı bulmak oldukça zor olacaktır. Bir kullanıcı uzaktan bağlandığında, Windows Olay Görüntüleyicisi’nde çok sayıda olay görünür.
Uzak Masaüstü bağlantılarıyla ilgili bilgileri bulabileceğiniz birkaç farklı günlük tipi vardır. Aşağıdaki olaylara bakmamız gerekiyor ki RDP bağlantılarında yaşanan sıkıntıları tespit edebilelim.
- Network Connection, EventID: 1149
- Logon, EventID: 21, 22
- Authentication, EventID: 4624, 4625
- Session Disconnect/Reconnect, EventID: 24, 25, 39, 40, 4778, 4799
- Logoff, EventID: 23, 4634
Network Connection
Ağ Bağlantısı, bir kullanıcı RDP üzerinden bir sunucuya bağlantı kurması gibi olayları içerir. Olay Kimliği(EventID) 1149 (Remote Desktop Services: User authentication succeeded)olan olaydır. Bu olay bulunursa, kullanıcı kimlik doğrulamasın da başarılı olduğu anlamına gelmez. Bu günlük, “Applications and Services Logs > Microsoft > Windows > Terminal-Services-RemoteConnectionManager > Operational” konumunda yer almaktadır. Olay için günlük filtresini etkinleştirin, ardından bu sunucuya yapılan tüm RDP bağlantılarının geçmişini içeren bir olay listesi karşınıza çıkacak.
Authentication
Kimlik doğrulama size bir RDP kullanıcısının sunucuda kimlik doğrulamasının başarıyla yapılıp yapılmadığını gösterir. Bu günlük, “Windows -> Security” bölümünde yer almaktadır. Dolayısıyla, Olay Kimliği(EventID) 4624 (An account was successfully logged on) veya Olay Kimliği(EventID) 4625 (An account failed to log on) olarak tanımlanır ve günlüklerde yerini alır. Lütfen olay açıklamasındaki LogonType değerine mutlaka ve mutlaka dikkat edin. Uzak Masaüstü hizmeti, oturum açma sırasında yeni oturum açmak için kullanılmışsa, LogonType=10 olarak gözükür. Kullanıcının mevcut RDP oturumuna yeniden bağlandığı ise LogonType=7 ile anlaşılmaktadır.
DİKKAT
TargetLogonID değerini bir yere not etmeyi unutmayın. İşlem yapılan kullanıcının yaptığı etkinlikleri izlemeye yardımcı olacaktır. Tabii burada şöyle bir kısıt bulunmaktadır, RDP oturumunun bağlantısı beklenmedik şekilde kesilirse ve bir kullanıcı yeniden bağlanırsa, TargetLogonID yenilenir. (yine de RDP oturumu aynı olacaktır).
Bunlar dışında kullanıcının başarıyla kimlik doğrulaması yaptığı durumdan sonra görünen bir olay yer almaktadır buda bağlantının başarılı olması durumudur. Olay Kimliği(EventID) 21 (Remote Desktop Services: Session logon succeeded) olarak geçmektedir., “Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational” rotasını takip ederek bu bölüme ulaşabilirsiniz.
Olay kimliği(EventID) 22 ile olay (Remote Desktop Services: Shell start notification received), Explorer kardeşimizin başarıyla başlatıldığı anlamına gelir yani masa üstüne erişim sağlanmıştır.
Session Disconnect/Reconnect
Oturum açma/kapatma olayları, kullanıcının bağlantısının kesilmesine neyin sebep olduğuna bağlı olarak farklı idlere sahiptir ve çokça varyasyonu vardır. Bu olayları, “Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational” altında bulunan günlüklerde rahatlıkla bulabilirsiniz. En sık karşılaşılan RDP olay kimliklerini ele almamız gerekirse;
- Olay Kimliği(EventID) 24 (
Remote Desktop Services: Session has been disconnected) kullanıcının RDP oturum bağlantısı kesildi. - Olay Kimliği(EventID) 25 (
Remote Desktop Services: Session reconnection succeeded) kullanıcı sunucudaki mevcut RDP oturumuna tekrar bağlandı. - Olay Kimliği(EventID) 39 (
Session xx has been disconnected by session yy) kullanıcı, menü seçeneğini kullanarak (RDP istemcisi penceresini kapatmak yerine) RDP oturumuyla bağlantısını kesti. Oturum kimlikleri farklıysa, bir kullanıcının bağlantısı başka bir kullanıcı (veya bir yönetici) tarafından kesildi. - Olay Kimliği(EventID) 40 (
Session xx has been disconnected, reason code yy) burada bakmanız gereken reason code açıklamalarıdır bunlar sırasıyla;- reason code 0 (
No additional information is available) kullanıcı RDP penceresini kapattı. - reason code 5 (
The client’s connection was replaced by another connection) kullanıcı önceki RDP oturumuna tekrar bağlandı. - reason code 11 (User activity has initiated the disconnect) kullanıcı başlat menüsünde yer alan “Bağlantıyı Kes” düğmesine tıkladı.
- reason code 0 (
Olay Kimliği(EventID) 4778 (A session was reconnected to a Window Station) kullanıcı RDP oturumuna yeniden bağlandı.
Olay Kimliği(EventID) 4799 (A session was disconnected from a Window Station) kullanıcının RDP oturumuyla bağlantısı kesildi.
Logoff
Kullanıcının sistemden çıktığı anlamına gelir. Olay Kimliği(EventID) 23 (Remote Desktop Services: Session logoff succeeded) olarak geçer ve “Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational” yolunda yer alır.
Aynı zamanda, Olay Kimliği(EventID) 4634 (An account was logged off) ile olay aynı şekilde olaylar içerisinde yer alır.
Olay Kimliği(EventID) 4637 (User initiated logoff) oturum kapatma başlatıldığında gözükür, kullanıcı tarafından başlatılan başka bir aktivite gerçekleşemez.
UYARI
Bu makalede yer alanlar, hem Windows Server 2012/R2, 2016 ve 2019 hem de masaüstü windows sürümlerinde (Windows 10, 8.1) kullanılabilir.