Как в логах Windows Terminal Server отслеживать внешние IP?

Question

[sp999999]

Вопрос простой.
Сервер стоит за роутером с NAT и в журнале для всех сессий RDP пишет адрес роутера, а нужно внешние IP адреса отслеживать, чтобы понимать, какой пользователь с каких адресов заходит.

На роутере сложно сделать мониторинг, т.к. там не будет имен пользователей.

Сервер - Windows Server 2016
Роутер - FortiGate 30E

Comments

[Juhani Lahtinen]

Посмотрите сюда:
Просмотр и анализ логов RDP подключений в Windows

[Роман Молчанов]

Это вопрос к маршрутизатору, почему он адреса не транслирует.

[Juhani Lahtinen]

А какой код события и тип входа Вы выбираете?

[sp999999]

Juhani Lahtinen, Смотрю Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
1149

[sp999999]

Роман Молчанов, ну вот вопрос - а можно какой-то режим другой включить на роутере? Как это называется тогда, что искать в документации?

[Juhani Lahtinen]

sp999999, Может смотреть в 4624 тип 3?

[sp999999]

Juhani Lahtinen, да смотрел, там вообще не найти. Записей 4624 в Security log с логинами нормальными вообще нет. Только анонимные, вроде таких:

Есть 4776, там Credential validation c нормальными логинами, но IP нет, только имена рабочих станций.

"An account was successfully logged on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No

Impersonation Level: Impersonation

New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x1161D9F94
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 0x0
Process Name: -

Network Information:
Workstation Name: SERVER
Source Network Address: fe80::8045:b9f8:7359:8dde
Source Port: 57208
"

[Juhani Lahtinen]

sp999999, Очень странно, у меня просто не англицкий, но точно 4624 и тип 3
Попробуйте в powersheell

Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624) -contains $_.EventID -and $_.Message -match 'Logon type:\s+(3)\s'}

[sp999999]

Juhani Lahtinen, Ну запрос выдает записи, я их в журнале вижу. Только там не могу найти логины обычных пользователей, только анонимные запросы какие-то внутренние. Тоже с ними надо разбираться, похоже какие-то мак устройства. Выше привел пример.

И адрес вот в таком формате еще выдает Source Network Address: fe80::8045:b9f8:7359:8dde

PS C:\Users\Administrator> Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624) -conta
ins $_.EventID -and $_.Message -match 'Logon type:\s+(3)\s'}

Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
45855524 янв 27 16:02 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855481 янв 27 16:02 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855429 янв 27 16:01 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855382 янв 27 16:01 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855338 янв 27 16:00 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855291 янв 27 16:00 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855248 янв 27 15:59 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855207 янв 27 15:59 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855165 янв 27 15:58 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855124 янв 27 15:58 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....
45855085 янв 27 15:57 SuccessA... Microsoft-Windows... 4624 An account was successfully logged on....

[Juhani Lahtinen]

sp999999,
Я сейчас просто дико извиняюсь за свой говнокод, но вдруг поможет.

$filterXml = @'
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
	*[
		System[(EventID = 4624)] 
			and 
		System[(TimeCreated[timediff(@SystemTime) &lt;= 86400000])]
			and
		EventData[Data[@Name="LogonType"] and (Data=3)]
		] 
    </Select>
  </Query>
</QueryList>
'@

Get-WinEvent -FilterXML $filterXml | %{
[xml]$xml = $_.ToXml()
(new-object -Type PSObject -Property @{
Time = $_.TimeCreated 
NamePC = $xml.getElementsByTagName("Data") | where{$_.name -eq "WorkstationName"} | Select-Object -ExpandProperty "#text"
ClientIP = $xml.getElementsByTagName("Data") | where{$_.name -eq "IpAddress"} | Select-Object -ExpandProperty "#text"
UserName = $xml.getElementsByTagName("Data") | where{$_.name -eq "TargetUserName"} | Select-Object -ExpandProperty "#text"
UserDomain = $xml.getElementsByTagName("Data") | where{$_.name -eq "TargetDomainName"} | Select-Object -ExpandProperty "#text"
})
} | select Time, NamePC, ClientIP, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}}

[sp999999]

Juhani Lahtinen, спасибо, попробую!

[Valentin Barbolin]

Поддерживаю. Если вы не видите адрес клиента, то у вас натится трафик во внутреннюю сеть из мира. Посмотрите как правильно пробрасывать порты на FortiGate. И FortiGate должен быть шлюзом для этого сервера (сервер должен выходить в интернет через FortiGate).

Answer 1

[mumische]

Сервер что видит, то и пишет, на нём вы ничего не сделаете. Нужно смотреть настройки роутера, выложите их. Я не силён в FortiGate, но афаик у них есть два типа публикации - virtual ip, когда используется destination nat - в этом случае адрес источника будет адресом клиента, второй - virtual server, который по своей сути балансировщик.

Вместо прямой публикации терминального сервера в интернет всё-таки MS рекомендует использовать RD Gateway.