Retrouver les connexions d'un utilisateur sur serveur

Comment retrouver toutes les connexions d’un utilisateur sur un serveur équipé de Windows Entreprise 7 ?
Dans les journaux, il y a des dizaines et des dizaines d’enregistrements;
Comment isoler les connexions de l’utilisateur qui m’intéresse ?

:hello:

Dans l’observateur d’événement on peut définir des filtres pour les journaux, filtres pouvant précisément intégrer des utilisateurs. :jap:

Merci pour cette réponse, mais je n’ai pas réussi à définir un filtre correspondant à ce que je veux. J’ai créé un filtre sur l’évènement 1149, mais la rubrique “utilisateur” du filtre correspond au nom du processus (en l’occurence Remote Connexion je crois ou un autre nom ?). Le nom de l’utilisateur se trouve dans le champ “param1” et il ne figure pas dans les critères que je peux filtrer; probablement parce que c’est un filtre commun à tous les processus et pas spécialement aux connexions à distance.

Il doit pourtant y avoir forcément un moyen de sélectionner toutes les connexions d’un utilisateur ? Help aux gestionnaires de serveur ! Peut-etre avec une requëte SLQ ou quelque chose dans ce genre ?

Bonjour,

Je suis un peu perplexe, tu parle de connexion sur un serveur mais tu parle de Windows 7.
Ou est-ce que tu regardes ? sur le poste client ou sur le serveur ? Quel est l’OS de chaque ?

Il faut bien reconnaitre que les journaux des évènements Windows ne sont pas les plus simple à lire surtout si on ne sait pas préciseément quoi chercher.

L’event 1149 est associé (entre autre) aux connections RDP, est-ce ton cas de figure ?

Qu’entends tu par connexion ? Authentification, accès à une ressource partagée, base de donnée, application hébergée sur le serveurs, RDP… ?

Koin-Koin

Il s’agit plus précisément d’utilisateurs se connectant à distance depuis leur ordinateur sur un VPS par la commande “Connexion bureau à distance” de Windows. Ce VPS est équipé de Windows 7 Entreprise.
Pour consulter les connexions des utilisateurs, je vais dans les journaux d’événements (du VPS) et je regarde celui qui s’appelle TerminalServices - RemoteConnexionManager (Operationnel). Là je retrouve toutes les connexions à distance (événement 1149) et avec un peu de chance, je tombe sur la connexion de l’utilisateur qui m’intéresse. Je dis avec de la chance, parce qu’il y a plein d’enregistrements !
Ce que je voudrais, c’est tomber directement sur les connexions de l’utilisateur en question. J’ai essayé de créer un filtre, mais je ne peux pas filtrer par utilisateur, parce que la rubrique “utilisateur” du filtre correspond toujours, pour cet événement, à “NETWORK SERVICE”. Le nom de l’utilisateur à distance, est d’après les enregistrements que j’ai consultés, dans la rubrique “param1” que je ne vois pas dans le filtre.
J’espère que c’est plus clair ! Comment poser un filtre sur ce journal qui me donne ce que je veux ou passer par un autre moyen, je pensais un peu à SQL (mais comment ?)

Merci pour ces précisions, effectivement ça eclairci pas mal de choses.

Navré je ne peux pas reproduire exactement ton cas de figure donc c’est difficile de te fournir une solution clé en main.

Je suppose que tu as créé un affichage personnalisé comme ceci:

[Photo supprimée]

Peut-être qu’en affichant ici un exemple d’évènement que tu recherche, il sera possible de t’aider à filtrer correctement ou au moins d’être plus précis dans le résultat.

Merci Koin-Koin d’avoir pris le temps de regarder.
Effectivement, le filtre que je cherche à créer est comme ceci :

[Photo supprimée]

et un exemple d’enregistrement :

[Photo supprimée]

ce qui donne en version xml :

1149 0 4 0 0 0x1000000000000000 2551772 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 2533-PC - - Administrator 61.147.103.107

On voit que le nom de l’utilisateur, ici Administrator, figure dans le champ Param1.
Le filtre donne la possibilité de basculer en mode XML et je suppose qu’il y a la possibilité de faire une requête sur le champ param1, mais je ne maîtrise pas vraiment (enfin pas du tout…) et je ne suis arrivé à rien.

Essaie ceci:

[Photo supprimée]

Par contre vu que la notion de compte se base sur le SID et non du texte, il est possible que tu ais des soucis pour le rentrer correctement.

Selon ce que tu recherche, tu peux peut-être filtrer sur le nom de machine comme je l’ai mis dans la capture

Merci Koin-Koin, j’ai essayé mais il ne trouve aucun enregistrement. Le nom de la machine ne me suffit pas pour filtrer.

Après la forme de la requete va dépendre de ce que tu cherche à obtenir.

Est-ce que tu cherches les connnexions d’un utilisateur en particulier et/ou d’une machine en particulier ou est-ce plutôt les connexions qui posent un problème pour identifier la machine et/ou l’utilisateur.

Est-ce que tu peux le décrire ?

En complément d’hier :

Le champ utilisateur est bien l’utilisateur mais il apparait sous la fomre du SID du compte, le champs Param1 n’est pas celui de la requète mais le résultat en clair de la valeur correspondant au SID contenu dans l’enregistrement (ici: S-1-5-20 qui correspond au compte admin local de la machine 2533-PC.

En fait, je recherche les connexions d’un utilisateur en particulier.
J’ai comparé les enregistrements concernant des utilisateurs différents, mais à chaque fois, le SID est S-1-5-20. Le numéro de la machine est le même aussi. Je ne vois que le champ Param1 qui diffère d’un utilisateur à l’autre, ainsi que le Param3.
Il faudrait une requête qui filtre sur le Param1 et me permette d’obtenir le Param3, ainsi que la date et l’heure de connexion.

Dans ce cas précis, il s’agit toujours de la même machine.

Les champs “param” ne sont pas des valeurs sur lesquels tu peux mettre des critères ce sont juste des données retournées correspondant à d’autre:

  • ici param1 est la valeur retournée en clair pour le SID S-1-5-20 qui correspond au compte administrateur local d’une machine et ce quel que soit le nom de ce compte. Exemple si l’OS est en anglais tu aura Administrator et pour un OS en francais tu aura Administrateur (ou tout autre nom si ce compte à été renommé)

  • param3 est l’adresse IP de ta machine 2533-PC au moment ou elle a fait sa requête, cette valeur peut donc changé pour la même machine selon d’ou elle se connecte.

Petite précision, pour être sur qu’on se comprenne bien: même si SID S-1-5-20 correspond au compte d’administrateur local, le champ Param1 permet justement de différencier les différents utilisateurs du VPS (qui ont tous des droits d’administrateur local). Dans ce champ, il y a parfois “Administrateur” et parfois un autre nom comme tu le disais. Mais pour deux noms d’utilisateur différents, le SID reste le même, donc pas moyen de faire une requête là-dessus. Le champ Param3 est l’adresse IP de l’utilisateur au moment ou il se connecte, et effectivement il peut être variable pour un même utilisateur.
Le nom de la machine 2533-PC est le nom du VPS et non celui de l’ordinateur de l’utilisateur, c’est pourquoi il ne sert à rien de faire une requête sur ce champ.
C’est dommage qu’on ne puisse pas mettre de critères sur les champs param qui sont retournés par le processus. C’est la seule solution que je voyais. Tant pis, je vais continuer à éplucher les journaux !
En tout cas, merci beaucoup pour tes informations, et si jamais tu voyais une solution, n’hésite surtout pas à la poster !