Ver Log del Escritorio Remoto.

Foro referente al sistema operativo Windows y que no se puede clasificar en los foros anteriores
OpenBox77
Usuario linuxero
Usuario linuxero
Mensajes: 4
Registrado: 28 May 2013, 09:01
Agradecido : 1 vez
Contactar:

Ver Log del Escritorio Remoto.

Mensajepor OpenBox77 » 28 May 2013, 09:15

Hola, haber si alguien me alluda, que estoy un poco desesperado:

Necesitaria poder ver TODOS los logins o intentos de estos desde un archivo de texto plano.
Es para poder detectar un ataque contra el servicio de escritorio remoto. Trabajo para una empresa grande y nos serría bastante útil.
Del script para sacarle la información y demás, me encargo yo, pero lo que no soy capaz es de localizar el log que guarda esta información.

En caso de ser necesario verla por WMI también agradeceria saber como puedo sacar esa información a un archivo de texto plano o CSV.

A ser posible que funcione con Windows Server 2003, 2008 y 2012.

Muchas Gracias por adelantado.
De pequeño me impusieron las costumbres..
Ne educaron para hombre adinerado..
Pero ahora prefiero ser un indio...
Que un importante abogado!!
-.-!

Avatar de Usuario
pako
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 3605
Registrado: 22 Ene 2008, 13:30
Ubicación: España
Agradecido : 50 veces
Agradecimiento recibido: 277 veces
Contactar:

Re: Ver Log del Escritorio Remoto.

Mensajepor pako » 28 May 2013, 11:36

Hola,

Bienvenido al foro :welcome:

Nunca lo hice pero probaría lo siguiente...

Primero ser administrador para poder acceder al registro de seguridad.

Segundo comprobar que esta activado:

Tecla Windows + R, escribes gpedit.msc y pulsas intro.
En la izquierda vas a Configuración del equipo > Componentes de Windows > Opciones de inicio de sesión de Windows
Y en la derecha activar Mostrar información acerca de inicios de sesión....

Después iría al visor de eventos (eventvwr.msc), dentro de la pestaña de Registros de Windows > Seguridad, tendrás los logins.

Por ejemplo el login de inicio sesión es el ID 4624, tendrás que buscar que ID corresponde al fallo del login, búscalo aquí:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226

Filtras por el ID que te interese y lo exportas como CSV, desde el visor de eventos pinchas en Acción > Guardar eventos seleccionados... y en la ventana nueva que te sale cambias el tipo a CSV (*.csv).

Todo esto no es necesario que lo realices, desde el lenguaje de programación que uses deberías de poder acceder directamente a los eventos, realizar el filtrado por el ID que quieras y listo.

Saludos
Si has encontrado aquí la ayuda que esperabas (o incluso si no ha sido así ;) ), ayúdanos a mantener el foro con un pequeño donativo.
¡Muchas gracias!

OpenBox77
Usuario linuxero
Usuario linuxero
Mensajes: 4
Registrado: 28 May 2013, 09:01
Agradecido : 1 vez
Contactar:

Re: Ver Log del Escritorio Remoto.

Mensajepor OpenBox77 » 03 Jun 2013, 15:41

Gracias, pero por motivos de incompativilidad entre las distintas versiones de Windows y el visor de sucesos, no soy capaz de realizar esto.
Abriré otro tema con otra solución que se me ha ocurrido.
Si el administrador considera oportuno borrar o modificar este tema en cualquier aspecto por favor adelante.
Un saludo y gracias
De pequeño me impusieron las costumbres..
Ne educaron para hombre adinerado..
Pero ahora prefiero ser un indio...
Que un importante abogado!!
-.-!

Guzman
Usuario linuxero
Usuario linuxero
Mensajes: 37
Registrado: 10 Nov 2013, 18:00
Agradecimiento recibido: 3 veces
Contactar:

Re: Ver Log del Escritorio Remoto.

Mensajepor Guzman » 30 Nov 2013, 12:23

Con PowerShell puedes sacar un listado en texto de los eventos que quieras:

http://www.sysadmit.com/2013/11/ver-el-resultado-de-chkdsk-f-en-windows.html

El cmd-let Get-WinEvent está disponible con Vista/ Windows Server 2008 R2 en adelante, para versiones anteriores tienes el cmd-let Get-EventLog.

Avatar de Usuario
helheim
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 5001
Registrado: 20 Abr 2008, 11:38
Agradecido : 24 veces
Agradecimiento recibido: 169 veces
Contactar:

Re: Ver Log del Escritorio Remoto.

Mensajepor helheim » 30 Nov 2013, 13:43

Guzman, por favor, trata de no revivir temas antiguos porque OpenBox77 no ha vuelto a dar señales de vida desde entonces y hacer lo que haces trastoca el buen funcionamiento del Foro.

Cierro el tema.

Un saludo.
La experiencia es una llama que alumbra quemando (Benito Pérez Galdós)


Volver a “Windows en general”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado