Отчет о VPN подключениях в ISA

ISA Firewall Quick Tip : Creating Reports For VPN Clients

Configuration on ISA Server

1 Open ISA Management Console



2 Under the Monitoring node, click on Logging







3 We will create a report with the following filters

a. Logging Last 30 Days

b. Action Equals Initiated VPN Connection

4 Click on Edit Filter, to start editing and adding our filters.

5 Click on Log Time, then under the Condition drop down list, choose Last 30 Days, and click on Update







6 Click on Action, then under the Condition drop down list, choose Equals, and under the Value drop down list choose  Initiated VPN Connection and click on Update






7 The Filter will look like :







8 Click on the Start Query,the Query will run and the results will be displayed







As you can see, the user tmajdalani has established 3 PPTP VPN connections during the last 30 days

9 Now, to copy the results to Excel, on the Right Side Pane, under Tasks, click on Copy All Result to Clipboard







10 Now open Microsoft Excel , and paste the result.

Ok we knew how to log who established a VPN Connection into our Network, but what if I want to know in details what these VPN users accessed to ?


11 Of course, to Allow VPN Users to access resources inside your LAN , you will need to create an Allow rule as shown:







12 Create the following Filters:







Where the value VPN Inbound Access is the access rule that we mentioned in the previous step.

13 Now run the Query and check what your VPN Users have been doing all these 30 days :)

In this article, we learned how to log all the VPN Connections established into our Network through ISA Server. Now we know who , when and to what resources your VPN users accessed.

http://www.elmajdal.net/ISAServer/Creating_Reports_For_VPN_Clients.aspx
Отчет о VPN подключениях в ISA
Журналы и отчеты в ISA Server 2006
Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 1)
Обзор Internet Access Monitor - программы для контроля использования Интернет канала сотрудниками Вашей организации

Как узнать с каких IP заходили на мой сервер через удаленный рабочий стол (RDP)?

Информацию о том, с каких IP адресов осуществлялся вход на сервере через удаленный рабочий стол можно получить только в журнале самой ОС Windows:

раскрыть

1. Нажмите кнопку "Пуск" -> "Администрирование" -> "Просмотр событий":



2. Последовательно выберите в списке журналов слева:
"Журналы приложений и служб" ("Applications and Services Logs") -> "Microsoft" -> "Windows"



затем найдите в списке "TerminalServices-LocalSessionManager" -> "Operational"



3. Справа, в разделе "Действия" нажмите "Фильтр текущего журнала":



4. Введите код события 21,25 в соответствующее поле в появившейся форме и нажмите кнопку ОК:



5. В писке останутся только интересующие вас записи. Каждя запись - это вход через удаленный рабочий стол (RDP), с указанием времени входа, имени пользователя и IP с которого он был произведен:

ещё способы

get-eventlog -list
get-eventlog -logname какойнужен | Export-Csv c:\1.txt -Encoding UTF8
Send-MailMessage -to " admin@domain.ru" -from "admin@domain.ru " -Subject "pismo s logom" -Attachment "c:\1.txt" -SmtpServer mail.domain.ru

https://docs.microsoft.com/ru-ru/windows-server/administration/windows-commands/wevtutil
http://www.linuxshop.ru/forum/f5/t9574-kak-posmotret-kto-i-kogda-podkluchalsa-po-rdp.html

WEVTUtil query-events Security > d:\log.txt

находим все IP в логе
grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" /123/log.txt | sort -u

взято тут

Audit logon events
Audit account logon events 2003

Excel вместо PowerShell: запросы к AD и системные отчеты «на коленке»
Microsoft Power Query для Excel