RDP(リモートデスクトップ)接続元IPの確認方法

Others,Windows

Windows ServerへRDP(リモートデスクトップ)接続した場合の接続元コンピュータのIPアドレス確認方法について纏めてみました。

    • 現在接続しているコンピュータのIPアドレス
      • netstatコマンド
      • タスクマネージャー
    • 接続していたコンピュータのIPアドレス
      • イベントログ(TerminalServices-LocalSessionManager)
      • イベントログ(セキュリティログ)
      • ログ絞り込み方法(フィルター、XML)
      • カスタムビュー

※Windows Server 2022 Datacenter Azure Editionを利用しています。
※test-vm-01(仮想マシン(Azure VM))で確認しています。

スポンサーリンク

現在RDP接続しているコンピュータのIPアドレスを調べる

netstatコマンドを利用して確認

netstaコマンドを使うとWindowsでアクティブな接続を確認する事が出来ます。
findコマンドを使うとテキスト検索(今回の場合はコマンドの実行結果を検索)する事が出来ます。

netstat
find

この2つを組み合わせてRDP(3389)番ポートで接続してきている接続を表示します。
コマンドプロンプトで実行します。
下線の部分に接続元のIPアドレスが表示されます。

c:\> netstat -n | find “3389"
TCP 10.0.1.4:3389 20.XXX.XXX.XXX:53065 ESTABLISHED

※10.0.1.4は受信側の仮想マシン(Azure VM)のIPアドレスです。

タスクマネージャーから確認

タスクマネージャーからも接続元コンピューターのクライアント名が確認出来ます。
タスクマネージャーは詳細表示にします。

クライアント名を確認
タスクマネージャーのユーザータブを選択します。
セッションとクライアント名を選択します。
RDP接続しているユーザー名と接続元のコンピューター名が確認出来ます。

—広告—

イベントログから接続元コンピュータのIPアドレスを確認

イベントログにはRDP接続されたログが記録されています。

TerminalServices-LocalSessionManagerで確認

以下の場所のイベントログから確認出来ます。

  • アプリケーションとサービスログ
    • Microsoft
      • Windows
        • TerminalServices-LocalSessionManager
          • Operational

Microsoft-Windows-TerminalServices-LocalSessionManager

TerminalServices-LocalSessionManagerを確認
スタートメニューからイベントビューアーを選択します。

以下の場所を選択します。

アプリケーションとサービスログ>Microsoft>Windows>TerminalServices-LocalSessionManager>Operational

 

RDP接続のログオン結果がログに記録されています。
ソースネットワークアドレスに接続元のIPアドレスが表示されます。

※セッション切断のログなども含まれます。
※サービスのログオンも含まれます。
※RDPログオン成功のイベントIDは21です。必要に応じてイベントIDでログを絞り込みます。

セキュリティログから確認

セキュリティログにはセキュリティ関連のイベントが記録されます。

Windows Server のイベント ログについて説明する

ログオンなどのイベントもセキュリティログに記録されます。
セキュリティログにはログオン以外の多くのイベントが含まれます。
イベントIDで絞り込みします。

4624(S): アカウントが正常にログオンしました

現在のログをフィルターを利用して検索します。

セキュリティログから確認
Windowsログのセキュリティを選択します。
現在のログをフィルターを選択します。
イベントID4624をフィルター条件に追加します。

ログオンに関するイベントログが表示されます。
ネットワーク情報のソースネットワークアドレスで接続元のIPアドレスを確認出来ます。

セキュリティログをRDPのログオンのみに限定

セキュリティログのログオンイベントにはRDP以外も含まれます。
ログオンの種類ごとにログオンタイプとして番号が付与されています。

管理ツールとログオンの種類
ログオンの種類と説明

リモートデスクトップ接続の場合はログオンタイプが10となります。
ログのフィルター条件にログオンタイプを追加します。

ログオンタイプの項目を下記サイトのイベントXMLで確認し検索条件として指定します。

4624(S): アカウントが正常にログオンしました

ログオンタイプは<EventData><Data Name="LogonType">ログオンタイプ</Data></EventData>として含まれている事が確認出来ます。

フィルター設定
ログのフィルターでXMLのタブを選択します。
手動でクエリを編集するにチェックを入れます。
確認メッセージが表示されるのではいを選択します。
ログオンタイプのand条件を追加します。

<QueryList>
 <Query Id="0″ Path="Security">
  <Select Path="Security">*[System[EventID=4624]] and *[EventData[Data[@Name=’LogonType’]=’10’]]</Select>
 </Query>
</QueryList>

イベントID4624とログオンタイプ10でセキュリティログを絞り込み出来ました。

カスタムビューの作成

カスタムビューを利用すると保存したフィルター条件を利用してイベントログを表示できます。

カスタムビューの作成
イベントビューアーでカスタムビューの作成を選択します。
カスタムビューの作成でXMLのタブを選択します。
手動でクエリを編集するのチェックを入れます。
先ほどフィルター検索で利用した条件をそのまま利用します。
OKを選択すると保存メッセージが表示されます。
名前を付けて保存します。

作成したカスタムビューを選択します。
設定した検索条件でフィルターされたイベントログが表示されます。

ログオン失敗の場合

ログオン失敗の場合も同様に確認出来ます。
ログオン失敗はイベントIDが4625になります。

4625(F): アカウントがログオンに失敗しました

ログオン失敗
Windowsログのセキュリティを選択します。
現在のログをフィルターを選択します。
イベントID4625をフィルター条件に追加します。

ログオン失敗のセキュリティログに絞り込まれています。
接続元コンピュータのIPアドレスはネットワーク情報のソースネットワークアドレスで確認出来ます。

イベントログをLog Analyticsで収集

Windows ServerのイベントログをLog Analytics取り込むとKQLを使った検索が出来ます。
設定手順についてはこちらに纏めています。

イベントログをAzure Monitorで監視

Windows ServerのイベントログをLog Analyticsワークスペースに収集する事でAzure Monitorの監視設定利用出来ます。
手順についてはこちらに纏めています。

—広告—

最後に

WindowsのRDP(リモートデスクトップ)接続の接続元IPアドレスの調べ方について纏めてみました。
今後も色々試してみたいと思います。

スポンサーリンク