Windows Server 2022におけるリモートデスクトップ接続(RDP)のログ取得と、接続者のユーザー特定方法について解説します。PC側のユーザー名をサーバーで確認する方法を知ることで、アクセス管理や監査が効率的に行えます。
リモートデスクトップ接続ログの基本
サーバーにRDP接続すると、標準でWindowsのイベントビューアにログが記録されます。主に以下のログが重要です。
- TerminalServices-LocalSessionManager: ローカルセッションの開始・終了イベント
- Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational: 接続元IPアドレスやユーザーアカウント情報
- Securityログ: ログオン/ログオフイベント(イベントID 4624/4634)
イベントビューアで「Windowsログ」→「セキュリティ」を確認すると、誰がどのアカウントで接続したかがわかります。
ユーザー名の取得方法
接続元PCのユーザー名を取得するには、セキュリティログのイベントID 4624(アカウントのログオン)を確認します。ログの詳細で Account Name と Account Domain が表示され、これがサーバーにアクセスしたユーザー名です。
例: ログオンタイプ 10 はリモートデスクトップ接続を示します。これでMemberAやMemberBなどの接続者を特定可能です。
接続元IPアドレスとの紐付け
動的IP環境ではIPだけで特定が困難なため、セキュリティログでユーザー名を確認することが重要です。接続元IPは TerminalServices-RemoteConnectionManager で確認できますが、最終的な識別はユーザー名で行います。
ログ管理と監査のコツ
定期的にログを確認するためには、イベントビューアでカスタムビューを作成するか、PowerShellや監査ソフトを用いて自動化するのが便利です。これにより、複数ユーザーのRDPアクセスを効率的に管理できます。
まとめると、サーバー側でRDP接続者を特定するには、セキュリティログ(イベントID 4624)を中心に確認し、ユーザー名から接続者を特定することが推奨されます。
コメント