Заметки сисадмина » Как отслеживать подключения к RDP

Как отслеживать подключения к RDP

2025-11-07 · Posted in PowerShell, RDS

Сегодня хочу поделиться полезным трюком, как отслеживать подключения к RDP – кто, когда и откуда логинился на сервер. Это особенно актуально, если вы не используете полноценный SIEM, но хотите держать руку на пульсе.

Используем журнал событий и PowerShell:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} |
Where-Object { $_.Properties[8].Value -eq '10' } |
Select-Object TimeCreated,
              @{Name='User';Expression={$_.Properties[5].Value}},
              @{Name='IP';Expression={$_.Properties[18].Value}} |
Sort-Object TimeCreated -Descending | Out-GridView

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} |

Where-Object { $_.Properties[8].Value -eq '10' } |

Select-Object TimeCreated,

@{Name='User';Expression={$_.Properties[5].Value}},

@{Name='IP';Expression={$_.Properties[18].Value}} |

Sort-Object TimeCreated -Descending | Out-GridView

Что делает скрипт:
– Ищет события успешного входа (4624),
– Фильтрует по типу логина 10 (удалённый интерактивный – это RDP),
– Показывает дату, пользователя и IP-адрес источника.

Очень удобно запускать на сервере и быстро проверять, кто заходил и когда. Можно адаптировать для логгера или отправки уведомлений.

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Alt26 Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Как отслеживать подключения к RDP

Leave a Reply