構成概要
複数存在するWindowsサーバに対して、誰がいつRDPログインしたかを収集し可視化するシステムです。この要件に対して、ソリューションとして「セキュリティおよび監査」が準備されているので、このソリューションを利用し、WindowsサーバのRDPログイン履歴を管理する環境を容易に構築します。
構成イメージ
-1-300x166.png)
設定例
クエリー作成①
ここでは、サーバ毎にWindowsサーバにRDP接続に成功を検索するクエリーを作成します。
検索条件として、正常なログインを表す「EventIDコード番号4624」、さらにRDPのログインを表す「10-RemoteInteractive」とします。続いてサーバ毎のログイン回数のための条件も追加します。
| search*
|where Type==”SecurityEvent” |where(EventID==4624) |where LogonTypeName==”10-RemoteInteractive” |summarize count() by Computer |sort by count_desc |
クエリー作成②
ここでは、アカウント毎にWindowsサーバにRDP接続に成功を検索するクエリーを作成します。
検索条件として、クエリー①をベースにアカウント毎のログイン回数のための条件も追加します。
| search*
|where Type==”SecurityEvent” |where(EventID==4624) |where LogonTypeName==”10-RemoteInteractive” |summarize count() by Account |sort by count_desc |