Historial de conexiones a traves de escritorio remoto a un Windows

Discrepo Javier!
Entiendo que sí pueden existir soluciones más acordes a lo que busca, pero
un sniffer sí puede serle útil para conocer qué trafico navega por dónde y
cómo lo hace... Realizar un filtro por puerto 3389 hacia la dirección IP del
servidor de terminal server, y de qué direcciones y a que horarios se
conectan, es una tarea que pienso que sería perfecta para un sniffer.

Ethereal, Microsoft Network Monitor, Netinfo...

Daniel Ríos
http://d-rios.blogspot.com



"Javier Inglés [MS MVP]" escribió en el mensaje
news:

El visro de eventos s cuestión de que te conetes una vez con un usuario,
lo mires y anotes el código de evento por el cual puedes filtrar después y
se ve muy clarito la IP que se ocnecta , a qué IP de qué server se
conecta, por qué puerto origgen y destino y qué usaurio hace el login...no
es tan complicado ni supone mucha cosa socio.

Si no ,necesitarás software tipo SCC (antes conocido como MOM) que entre
otras cosas puede centralizar y analizar lo que son los visores de eventos
de servidores.

Sniffer y SNMP en estos casos no sirve de nada

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Santiago" escribió en el mensaje
news:

En primer lugar quiero agradecer tanto a Daniel como a Javier el haber
tenido
interes en ayudarme, con respecto a lo que me dices Javier me imagino que
el
visor de eventos es el visor de sucesos, pero dentro de seguridad hay
muchas
anotaciones, a mi incluso que soy tecnico de informática me cuesta verlo
y
nevesito enseñarselo a un cliente con lo que no lo veo claro.
Con lo que me dices Daniel de instalar un Snifer no lo tengo claro, nunca
lo
he hecho. De la misma manera que no he puesto nunca en marcha el servidor
SNMP he leido algo de él ¿crres que me dará la información mejor filtrada
que
el visor de sucesos?

Agradezco las ayudas.

Gracias.



"Daniel Ríos" wrote:

Para ello sería recomendable utilizar un sniffer o configurarte el
servidor
snmp.
El Conexión a escritorio remoto no trae consigo un histórico para lo que
pides, o eso creo.

Daniel Ríos
http://d-rios.blogspot.com



"Santiago" escribió en el mensaje
news:
> Hola me gustaria saber como poder ver el historial de conexiones
> mediante
> escritorio remoto a un windows 2003 server. Usuario , fecha, hora Ip

Socio, SNMP es para monitorizar, no para auditar; y un sniffer es para
capturar paquetes y tramas de la red, no para auditar eventos de login
correcto,/incorrecto y demás; podrás ver con un sniffer que una IP abre por
el puerto tal una conexión al puerto tal de la IP pascual :-P, pero luego,
no verás claramente qué inicio de sesión hace, qué usuario, etc...para este
caso y con lo que pide, está el visor de evnetos con el apartado de
seguridad, que lo da clarito y de un vistazo

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Daniel Ríos" escribió en el mensaje
news:

Discrepo Javier!
Entiendo que sí pueden existir soluciones más acordes a lo que busca, pero
un sniffer sí puede serle útil para conocer qué trafico navega por dónde y
cómo lo hace... Realizar un filtro por puerto 3389 hacia la dirección IP
del servidor de terminal server, y de qué direcciones y a que horarios se
conectan, es una tarea que pienso que sería perfecta para un sniffer.

Ethereal, Microsoft Network Monitor, Netinfo...

Daniel Ríos
http://d-rios.blogspot.com



"Javier Inglés [MS MVP]" escribió en el mensaje
news:

El visro de eventos s cuestión de que te conetes una vez con un usuario,
lo mires y anotes el código de evento por el cual puedes filtrar después
y se ve muy clarito la IP que se ocnecta , a qué IP de qué server se
conecta, por qué puerto origgen y destino y qué usaurio hace el
login...no es tan complicado ni supone mucha cosa socio.

Si no ,necesitarás software tipo SCC (antes conocido como MOM) que entre
otras cosas puede centralizar y analizar lo que son los visores de
eventos de servidores.

Sniffer y SNMP en estos casos no sirve de nada

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Santiago" escribió en el mensaje
news:

En primer lugar quiero agradecer tanto a Daniel como a Javier el haber
tenido
interes en ayudarme, con respecto a lo que me dices Javier me imagino
que el
visor de eventos es el visor de sucesos, pero dentro de seguridad hay
muchas
anotaciones, a mi incluso que soy tecnico de informática me cuesta verlo
y
nevesito enseñarselo a un cliente con lo que no lo veo claro.
Con lo que me dices Daniel de instalar un Snifer no lo tengo claro,
nunca lo
he hecho. De la misma manera que no he puesto nunca en marcha el
servidor
SNMP he leido algo de él ¿crres que me dará la información mejor
filtrada que
el visor de sucesos?

Agradezco las ayudas.

Gracias.



"Daniel Ríos" wrote:

Para ello sería recomendable utilizar un sniffer o configurarte el
servidor
snmp.
El Conexión a escritorio remoto no trae consigo un histórico para lo
que
pides, o eso creo.

Daniel Ríos
http://d-rios.blogspot.com



"Santiago" escribió en el mensaje
news:
> Hola me gustaria saber como poder ver el historial de conexiones
> mediante
> escritorio remoto a un windows 2003 server. Usuario , fecha, hora Ip

Sí, en eso del usuario te doy la razón, con un sniffer no podrías saberlo.

Daniel Ríos
http://d-rios.blogspot.com



"Javier Inglés [MS MVP]" escribió en el mensaje
news:

Socio, SNMP es para monitorizar, no para auditar; y un sniffer es para
capturar paquetes y tramas de la red, no para auditar eventos de login
correcto,/incorrecto y demás; podrás ver con un sniffer que una IP abre
por el puerto tal una conexión al puerto tal de la IP pascual :-P, pero
luego, no verás claramente qué inicio de sesión hace, qué usuario,
etc...para este caso y con lo que pide, está el visor de evnetos con el
apartado de seguridad, que lo da clarito y de un vistazo

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Daniel Ríos" escribió en el mensaje
news:

Discrepo Javier!
Entiendo que sí pueden existir soluciones más acordes a lo que busca,
pero un sniffer sí puede serle útil para conocer qué trafico navega por
dónde y cómo lo hace... Realizar un filtro por puerto 3389 hacia la
dirección IP del servidor de terminal server, y de qué direcciones y a
que horarios se conectan, es una tarea que pienso que sería perfecta para
un sniffer.

Ethereal, Microsoft Network Monitor, Netinfo...

Daniel Ríos
http://d-rios.blogspot.com



"Javier Inglés [MS MVP]" escribió en el mensaje
news:

El visro de eventos s cuestión de que te conetes una vez con un usuario,
lo mires y anotes el código de evento por el cual puedes filtrar después
y se ve muy clarito la IP que se ocnecta , a qué IP de qué server se
conecta, por qué puerto origgen y destino y qué usaurio hace el
login...no es tan complicado ni supone mucha cosa socio.

Si no ,necesitarás software tipo SCC (antes conocido como MOM) que entre
otras cosas puede centralizar y analizar lo que son los visores de
eventos de servidores.

Sniffer y SNMP en estos casos no sirve de nada

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Santiago" escribió en el mensaje
news:

En primer lugar quiero agradecer tanto a Daniel como a Javier el haber
tenido
interes en ayudarme, con respecto a lo que me dices Javier me imagino
que el
visor de eventos es el visor de sucesos, pero dentro de seguridad hay
muchas
anotaciones, a mi incluso que soy tecnico de informática me cuesta
verlo y
nevesito enseñarselo a un cliente con lo que no lo veo claro.
Con lo que me dices Daniel de instalar un Snifer no lo tengo claro,
nunca lo
he hecho. De la misma manera que no he puesto nunca en marcha el
servidor
SNMP he leido algo de él ¿crres que me dará la información mejor
filtrada que
el visor de sucesos?

Agradezco las ayudas.

Gracias.



"Daniel Ríos" wrote:

Para ello sería recomendable utilizar un sniffer o configurarte el
servidor
snmp.
El Conexión a escritorio remoto no trae consigo un histórico para lo
que
pides, o eso creo.

Daniel Ríos
http://d-rios.blogspot.com



"Santiago" escribió en el mensaje
news:
> Hola me gustaria saber como poder ver el historial de conexiones
> mediante
> escritorio remoto a un windows 2003 server. Usuario , fecha, hora Ip

Bueno pues he visto una solución que no es la que más me habría gustado, pero
la veo sencilla:
En panel de control, entrar al firewall de windows (tiene que estar activo),
entrar a opciones avanzadas, entrar en registro de seguridad, configuración,
marcar registrar conexiones correctas y aceptar.
Este apartado nos indica por defecto que va a guardar esta información en
c:\windows\pfirewall.log y aparece cada vez que se conecta un usuario con
escritorio remoto una linea como la siguiente
2008-12-30 09:39:18 OPEN TCP 192.168.1.2 192.168.1.102 3389 1058 - - - - - -
Pero como no existe la felicidad absoluta, no me aparece el usuario.
Seguiré investigando.

"Santiago" wrote:

Hola me gustaria saber como poder ver el historial de conexiones mediante
escritorio remoto a un windows 2003 server. Usuario , fecha, hora Ip

Como te he dicho, en el visor de eventos, en el apartado de seguridad lo ves
muy clarito...(evento 528...)

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Santiago" escribió en el mensaje
news:

Bueno pues he visto una solución que no es la que más me habría gustado,
pero
la veo sencilla:
En panel de control, entrar al firewall de windows (tiene que estar
activo),
entrar a opciones avanzadas, entrar en registro de seguridad,
configuración,
marcar registrar conexiones correctas y aceptar.
Este apartado nos indica por defecto que va a guardar esta información en
c:\windows\pfirewall.log y aparece cada vez que se conecta un usuario con
escritorio remoto una linea como la siguiente
2008-12-30 09:39:18 OPEN TCP 192.168.1.2 192.168.1.102 3389
1058 - - - - - -
hora.
Pero como no existe la felicidad absoluta, no me aparece el usuario.
Seguiré investigando.

"Santiago" wrote:

Hola me gustaria saber como poder ver el historial de conexiones mediante
escritorio remoto a un windows 2003 server. Usuario , fecha, hora Ip