Windows

Windows’ta RDP Uzak Masaüstü Etkinlik Günlükleri Nasıl Kontrol Edilir?4 min read

Nis 12, 2021

Windows’ta RDP Uzak Masaüstü Etkinlik Günlükleri Nasıl Kontrol Edilir?4 min read

Windows’ta RDP bağlantılarını günlükler üzerinden denetleme ve analiz etmeyi bugün ele alacağız. Bir kullanıcının hangi ip adresi kullandığını görebiliriz ve buna bağlı bir takım bilgileri de alabiliriz, bunun kayıtları olay günlüklerinde yer almaktadır. Windows VPS/VDS makinelerinde RDP bağlantıları çok popüler olduğunu unutmayalım. Windows günlükleri çok fazla veri içereceğini hatırlatırım ve ihtiyacınız olan olayı bulmak oldukça zor olacaktır. Bir kullanıcı uzaktan bağlandığında, Windows Olay Görüntüleyicisi’nde çok sayıda olay görünür.

Uzak Masaüstü bağlantılarıyla ilgili bilgileri bulabileceğiniz birkaç farklı günlük tipi vardır. Aşağıdaki olaylara bakmamız gerekiyor ki RDP bağlantılarında yaşanan sıkıntıları tespit edebilelim.

  1. Network Connection, EventID: 1149
  2. Logon, EventID: 21, 22
  3. Authentication, EventID: 4624, 4625
  4. Session Disconnect/Reconnect, EventID: 24, 25, 39, 40, 4778, 4799
  5. Logoff, EventID: 23, 4634

Network Connection

Ağ Bağlantısı, bir kullanıcı RDP üzerinden bir sunucuya bağlantı kurması gibi olayları içerir. Olay Kimliği(EventID) 1149 (Remote Desktop Services: User authentication succeeded)olan olaydır. Bu olay bulunursa, kullanıcı kimlik doğrulamasın da başarılı olduğu anlamına gelmez. Bu günlük, “Applications and Services Logs > Microsoft > Windows > Terminal-Services-RemoteConnectionManager > Operational” konumunda yer almaktadır. Olay için günlük filtresini etkinleştirin, ardından bu sunucuya yapılan tüm RDP bağlantılarının geçmişini içeren bir olay listesi karşınıza çıkacak.

windows olay görüntüleyici RDP olayları nasıl görüntülenir, rdp audit

Authentication

Kimlik doğrulama size bir RDP kullanıcısının sunucuda kimlik doğrulamasının başarıyla yapılıp yapılmadığını gösterir. Bu günlük, “Windows -> Security” bölümünde yer almaktadır. Dolayısıyla, Olay Kimliği(EventID) 4624 (An account was successfully logged on) veya Olay Kimliği(EventID) 4625 (An account failed to log on) olarak tanımlanır ve günlüklerde yerini alır. Lütfen olay açıklamasındaki LogonType değerine mutlaka ve mutlaka dikkat edin. Uzak Masaüstü hizmeti, oturum açma sırasında yeni oturum açmak için kullanılmışsa, LogonType=10 olarak gözükür. Kullanıcının mevcut RDP oturumuna yeniden bağlandığı ise LogonType=7 ile anlaşılmaktadır.

DİKKAT

TargetLogonID değerini bir yere not etmeyi unutmayın. İşlem yapılan kullanıcının yaptığı etkinlikleri izlemeye yardımcı olacaktır. Tabii burada şöyle bir kısıt bulunmaktadır, RDP oturumunun bağlantısı beklenmedik şekilde kesilirse ve bir kullanıcı yeniden bağlanırsa, TargetLogonID yenilenir. (yine de RDP oturumu aynı olacaktır).

Bunlar dışında kullanıcının başarıyla kimlik doğrulaması yaptığı durumdan sonra görünen bir olay yer almaktadır buda bağlantının başarılı olması durumudur. Olay Kimliği(EventID) 21 (Remote Desktop Services: Session logon succeeded) olarak geçmektedir., “Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational” rotasını takip ederek bu bölüme ulaşabilirsiniz.

windows olay görüntüleyici nasıl kullanılır, windows olay görüntüleyici kullanımı, rdp giriş bilgilerinin tespit edilmesi, rdp ip tespit

Olay kimliği(EventID) 22 ile olay (Remote Desktop Services: Shell start notification received), Explorer kardeşimizin başarıyla başlatıldığı anlamına gelir yani masa üstüne erişim sağlanmıştır.

Session Disconnect/Reconnect

Oturum açma/kapatma olayları, kullanıcının bağlantısının kesilmesine neyin sebep olduğuna bağlı olarak farklı idlere sahiptir ve çokça varyasyonu vardır. Bu olayları, “Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational” altında bulunan günlüklerde rahatlıkla bulabilirsiniz. En sık karşılaşılan RDP olay kimliklerini ele almamız gerekirse;

  • Olay Kimliği(EventID) 24 (Remote Desktop Services: Session has been disconnected) kullanıcının RDP oturum bağlantısı kesildi.
  • Olay Kimliği(EventID) 25 (Remote Desktop Services: Session reconnection succeeded) kullanıcı sunucudaki mevcut RDP oturumuna tekrar bağlandı.
  • Olay Kimliği(EventID) 39 (Session xx has been disconnected by session yy) kullanıcı, menü seçeneğini kullanarak (RDP istemcisi penceresini kapatmak yerine) RDP oturumuyla bağlantısını kesti. Oturum kimlikleri farklıysa, bir kullanıcının bağlantısı başka bir kullanıcı (veya bir yönetici) tarafından kesildi.
  • Olay Kimliği(EventID) 40 (Session xx has been disconnected, reason code yy) burada bakmanız gereken reason code açıklamalarıdır bunlar sırasıyla;
    • reason code 0 (No additional information is available) kullanıcı RDP penceresini kapattı.
    • reason code 5 (The client’s connection was replaced by another connection) kullanıcı önceki RDP oturumuna tekrar bağlandı.
    • reason code 11 (User activity has initiated the disconnect) kullanıcı başlat menüsünde yer alan “Bağlantıyı Kes” düğmesine tıkladı.

Olay Kimliği(EventID) 4778 (A session was reconnected to a Window Station) kullanıcı RDP oturumuna yeniden bağlandı.

Olay Kimliği(EventID) 4799 (A session was disconnected from a Window Station) kullanıcının RDP oturumuyla bağlantısı kesildi.

Logoff

Kullanıcının sistemden çıktığı anlamına gelir. Olay Kimliği(EventID) 23 (Remote Desktop Services: Session logoff succeeded) olarak geçer ve “Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational” yolunda yer alır.

logon log, windows logon logu nerede yer alır, windows olay görüntüleyici

Aynı zamanda, Olay Kimliği(EventID) 4634 (An account was logged off) ile olay aynı şekilde olaylar içerisinde yer alır.

Olay Kimliği(EventID) 4637 (User initiated logoff) oturum kapatma başlatıldığında gözükür, kullanıcı tarafından başlatılan başka bir aktivite gerçekleşemez.

UYARI

Bu makalede yer alanlar, hem Windows Server 2012/R2, 2016 ve 2019 hem de masaüstü windows sürümlerinde (Windows 10, 8.1) kullanılabilir.

blank

Sistem Uzmanı, Linux Hacısı, El-Kernel