windows2003记录远程桌面连接登录日志的方法及注意事项

转贴地址：http://skycyc23.blog.51cto.com/231267/373497

有时想看看服务器的远程桌面连接登录日志，看看是否被入侵过。但windows2003系统默认没有记录相关日志。这个就需要我们自己创建登陆日志，以下是从网上找的记录远程桌面的连接登录日志方法：
1、建立一个存放日志和监控程序的目录，比如在C盘下建立一个RDP的目录
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件，内容为：
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer
注意：以上3389是默认的远程桌面的端口号，如已修改过终端服务的端口，这个数值也要作相应的改变。

4、进入 控制面板-》管理工具-》终端服务器配置

会打开一个“tscc - 终端服务配置\连接 ”窗口

 

在窗口的右侧 有 RDP-Tcp 的记录 右键点击属性，会弹出RDP-Tcp属性 窗口（如下图），切换到“环境”页下，在其中的“初始程序”选项中设置：

启用“用户登录时启用下列程序”

在程序路径和文件名处填写：C:\RDP\RDPlog.bat
在起始于填写：C:\RDP

完成以上的配置步骤后，当再次登录服务器时就会记录当前登录者的时间和IP。

测试成功！ 

可是每次登录时都会有一个DOS的黑窗口一闪而过，很不舒服，有些人想精益求精去掉它。比如我，以下是操作步骤：

注意：请确保服务器wscript.shell 不被删除或改名，否则登录时可能会提示：windows脚本错误，无法找到名为“wscript.shell”的automation类，而无法远程进入系统，就只能找机房人员本地操作改回了。我就是因为不知道服务器因机房网管当时装系统配置安全时将wscript.shell删除了，而导致远程进不去系统。

1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件，内容如下：
Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:\RDP\RDPLog.bat",0)
2、同上进入 控制面板-》管理工具-》终端服务器配置，进入到默认RDP-Tcp属性中
3、切换到“环境”页下，启用“用户登录时启用下列程序”
在程序路径和文件名处填写：wscript  C:\RDP\RDPLog.vbs
在起始于填写：C:\RDP

设置后，再登录时弹出的批处理窗口就消灭了！

另外提醒各位：如果想每次登陆都记录访问着的时间和IP，每次退出远程桌面时，都必须选择“注销”用户退出。以上仅是一个简单的终端服务日志攻略，并没有太多的安全保障措施和权限机制。