最近看到一篇文章《分析进入Win2000后留下的足迹》，这文章里的关于纪录终端服务登录服务器日志

纪录的问题引发了几个朋友的讨论，究竟能不能纪录日志？何种情况下才能纪录日志？

顺手做了以下测试

这里先交待一下：

我的服务器名：ABUSERVER

我自己客户机名：ABUPC13

我自己客户机的IP：192.168.0.13

我登录所用的帐号：Administrator

本地安全策略里面开启：审核登录事件

测试一：

用终端服务的方式登录服务器，并正常注销退出，查看安全审核的日志记录如下：

很奇怪吧，因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时

纪录的工作站名:  ABUSERVER （这不是服务器的名字嘛）

测试二：

正常登录上服务器以后，选择断开，临时中断当前会话，然后再次使用客户端连接上服务器，在安全日志里

出现了以下记录：

这次，自己客户机名以及当时的IP都被记录下来了。

测试三：

正常连接服务器，输入错误的密码，再输入到第6次(缺省安全配置情况下）终端服务窗口关闭。

重新连接登录后，检查日志出现以下纪录：

在系统日志里：

在安全日志里：

到这里，我们分析了各种不同环境下登录终端服务器的日志纪录效果。

这样看来，是不是清楚了很多？呵呵

也许有朋友会奇怪为什么在第一个日志记录中，工作站名也是服务器的名称而不是我用来登录的客户机的名称。

原因是因为在以终端方式登录的时候，系统实际上是以 虚拟桌面、本地登录 的方式进行记录，自然没有对真正

用户的纪录咯。

所以总结如下：

1、当一个用户以终端方式登录服务器的时候，如果正常退出，服务器上的日志中，将不会记录你的IP，机器名。

2、当用户以终端方式登录后又发生了中断，这时候系统才会纪录客户机的IP以及机器名。

3、当密码输入错误导致连接终止时，在系统日志里会留下客户机的机器名信息。

呵呵，最后我在罗嗦一些关于被纪录下来的IP地址。

系统在纪录终端方式的客户机IP地址的时候，如果你的客户机处于一个局域网中，通过透明网关的方式访问服务器，

在服务器上留下的IP也只是你内网的IP地址，看来，单纯依靠微软的日志纪录，还是难免会有疏漏的。

解决的方法，这里就不多说了，可以参考shotgun曾经写过的关于《Win2000 Server入侵监测》一文。