netstat bat 脚本记录所有 RDP 连接
netstat bat script recording all RDP connections
这个 bat 文件的目的是记录 RDP 连接并在用户登录时将它们记录到一个文件中,它工作正常但是它记录了所有 RDP 连接,所以它不准确......是否可能只是运行 单个用户登录时的 netstat cmd?即只记录用户 RDP 会话,而不是所有 RDP 会话?
希望这是有道理的...
@echo off
for /f "delims=" %%i in ('netstat -anp TCP^| find "ESTABLISHED"^| find "3389"') do (
echo %date% %time% %%i >> \DC\Logs$\Logon\RDP.csv
)
而不是 netstat,使用 qwinsta 或 quser,或者它们更合理的别名 query session 或 query user。
set "user=foo"
for /f "delims=" %%I in ('query user %user% ^| find "rdp"') do (
>>\DC\Logs$\Logon\RDP.csv echo(%%I
)
(quser / query user 已经包含登录日期时间戳。)
或者如果我误解了你实际上是在询问如何仅在特定用户登录时触发 bat 文件,请将其放入该用户的 %userprofile%\Start Menu\Programs\Startup 或 REG_SZ 条目在该用户的 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 中。请注意,如果用户断开连接并重新连接,它不会触发——只有当他从注销状态执行登录操作时才会触发。如果您想在重新连接到活动会话时记录事件,您可以尝试添加计划任务以在 unlock event.
上触发
如果您询问如何在有多个用户远程登录时将远程登录用户与其 IP 地址配对,我没有找到一种简单的方法来做到这一点,除了使用第 3 方工具。 TSListUsers 似乎有效。但我会继续寻找。
这个 bat 文件的目的是记录 RDP 连接并在用户登录时将它们记录到一个文件中,它工作正常但是它记录了所有 RDP 连接,所以它不准确......是否可能只是运行 单个用户登录时的 netstat cmd?即只记录用户 RDP 会话,而不是所有 RDP 会话?
希望这是有道理的...
@echo off
for /f "delims=" %%i in ('netstat -anp TCP^| find "ESTABLISHED"^| find "3389"') do (
echo %date% %time% %%i >> \DC\Logs$\Logon\RDP.csv
)
而不是 netstat,使用 qwinsta 或 quser,或者它们更合理的别名 query session 或 query user。
set "user=foo"
for /f "delims=" %%I in ('query user %user% ^| find "rdp"') do (
>>\DC\Logs$\Logon\RDP.csv echo(%%I
)
(quser / query user 已经包含登录日期时间戳。)
或者如果我误解了你实际上是在询问如何仅在特定用户登录时触发 bat 文件,请将其放入该用户的 %userprofile%\Start Menu\Programs\Startup 或 REG_SZ 条目在该用户的 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 中。请注意,如果用户断开连接并重新连接,它不会触发——只有当他从注销状态执行登录操作时才会触发。如果您想在重新连接到活动会话时记录事件,您可以尝试添加计划任务以在 unlock event.
如果您询问如何在有多个用户远程登录时将远程登录用户与其 IP 地址配对,我没有找到一种简单的方法来做到这一点,除了使用第 3 方工具。 TSListUsers 似乎有效。但我会继续寻找。