リモートデスクトップ接続元コンピュータのIP確認方法
リモートデスクトップ接続元コンピュータのIPアドレスの確認方法について紹介しています。
現在接続しているアクティブな接続、過去に接続していたコンピュータのIPアドレスをイベントログから確認する手順について紹介しています。
イベントログをログオンのみに限定したり、ログオンに失敗した接続元のIPアドレスを特定する方法も紹介しています。
※Windows Server 2022 Datacenter Azure Editionを利用して確認しています。
※Azure上の仮想マシン(ホスト名:test-vm-01)を利用しています。
現在リモートデスクトップ接続しているコンピュータのIPアドレスを調べる
netstatコマンドを利用して確認
netstaコマンドを使うとアクティブなリモートデスクトップ接続を確認できます。
findコマンドを使うとテキスト検索(今回の場合はコマンドの実行結果を検索)できます。
この2つコマンドを組み合わせてリモートデスクトップ(3389)番ポート接続状況を表示します。
コマンドプロンプトで実行します。
下線の部分に接続元のIPアドレスが表示されます。
|
c:\> netstat -n | find “3389" |
※10.0.1.4は受信側の仮想マシンのIPアドレスです。
タスクマネージャーから確認
タスクマネージャーでも接続元コンピュータのクライアント名が確認できます。
タスクマネージャーを詳細表示にします。
| クライアント名を確認 | |
| タスクマネージャーのユーザータブを選択します。 セッションとクライアント名を選択します。 |
 |
| 現在リモートデスクトップ接続しているユーザー名と接続元のコンピュータ名を確認できます。 |  |
—広告—
イベントログから過去リモートデスクトップ接続していたコンピュータのIPアドレスを確認
イベントログにはリモートデスクトップ接続されたログが記録されています。
TerminalServices-LocalSessionManagerで確認
イベントログビューアーで確認できます。
TerminalServices-LocalSessionManagerのログに記録されています。
-
- アプリケーションとサービスログ
- Microsoft
- Windows
- TerminalServices-LocalSessionManager
- Operational
- TerminalServices-LocalSessionManager
- Windows
- Microsoft
- アプリケーションとサービスログ
Microsoft-Windows-TerminalServices-LocalSessionManager
| TerminalServices-LocalSessionManagerを確認 | |
| スタートメニューからイベントビューアーを選択します。 |  |
|
イベントビューアーで以下の場所を選択します。 アプリケーションとサービスログ>Microsoft>Windows>TerminalServices-LocalSessionManager>Operational
|
 |
|
リモートデスクトップ接続のログオン結果がログに記録されています。 |
|
※セッション切断のログなども含まれます。
※サービスのログオンも含まれます。
※リモートデスクトップログオン成功のイベントIDは21です。必要に応じてイベントIDでログを絞り込みます。
セキュリティログから確認
セキュリティログにはセキュリティ関連のイベントが記録されます。
Windows Server のイベント ログについて説明する
ログオンなどのイベントもセキュリティログに記録されます。
セキュリティログにはログオン以外の多くのイベントが含まれます。
イベントIDで絞り込みします。
現在のログをフィルターを利用して検索します。
| セキュリティログから確認 | |
| Windowsログのセキュリティを選択します。 現在のログをフィルターを選択します。 |
 |
| イベントID4624をフィルター条件に追加します。 |  |
|
ログオンに関するイベントログが表示されます。
|
|
セキュリティログをリモートデスクトップのログオンのみに限定
セキュリティログのログオンイベントにはリモートデスクトップ以外も含まれます。
ログオンタイプの項目にログオンの種類の番号が付与されています。
リモートデスクトップ接続の場合はログオンタイプが10となります。
ログのフィルター条件にログオンタイプを追加します。
ログオンタイプの項目を下記サイトのイベントXMLで確認し検索条件として指定します。
ログオンタイプは<EventData><Data Name="LogonType">ログオンタイプ</Data></EventData>として含まれている事が確認できます。
| フィルター設定 | ||
| ログのフィルターでXMLのタブを選択します。 “手動でクエリを編集する"にチェックを入れます。 |
 |
|
| 確認メッセージが表示されるので"はい"を選択します。 |  |
|
| ログオンタイプのand条件を追加します。 |  |
|
|
||
フィルター設定を使ってイベントID4624かつログオンタイプ10のセキュリティログを絞り込めました。 |
||
カスタムビューの作成
毎回フィルター設定するのも手間です。
カスタムビューを利用すると保存したフィルター条件を利用してイベントログを表示できます。
| カスタムビューの作成 | |
| イベントビューアーで"カスタムビューの作成"を選択します。 |  |
| カスタムビューの作成でXMLのタブを選択します。 “手動でクエリを編集する"のチェックを入れます。 |
 |
| 先ほどフィルター検索で利用した条件をそのまま利用します。 OKを選択すると保存メッセージが表示されます。 名前を付けて保存します。 |
 |
 |
|
|
作成したカスタムビューを選択します。
|
|
ログオン失敗の場合
ログオン失敗の場合も同様に確認できます。
ログオン失敗はイベントIDが4625になります。
| ログオン失敗 | |
| Windowsログのセキュリティを選択します。 現在のログをフィルターを選択します。 |
|
| イベントID4625をフィルター条件に追加します。 |  |
|
ログオン失敗のセキュリティログに絞り込まれています。
|
|
イベントログをLog Analyticsで収集
Windows ServerのイベントログをLog Analytics取り込むとKQLを使った検索ができます。
設定手順についてはこちらにまとめています。
https://www.tama-negi.com/2024/01/13/eventlog-loganalytics-k...イベントログをAzure Monitorで監視
Windows ServerのイベントログをLog Analyticsワークスペースに収集する事でAzure Monitorの監視設定利用できます。
手順についてはこちらにまとめています。
最後に
Windows Serverにリモートデスクトップ(リモートデスクトップ)接続した際の、接続元コンピュータのIPアドレスを確認する方法について確認してみました。
アクティブの接続はコマンドで確認、接続履歴についてはイベントログから確認できる事が分かりました。
イベントログを絞り込む事でログオン失敗の場合のみに絞り込み確認できる事も分かりました。
不正なアクセスの検知にも役立ちそうです。
引き続き色々試してみたいと思います。