我将服务器设置为Windows虚拟桌面主机池。有没有办法跟踪谁在访问服务器?
现在我正在使用Azure Log Analytics工作区与VM连接,我尝试查找一些查询以获取有关谁在访问服务器的信息。
Query:
VMConnection
|where computer == 'TestVM01'
除了谁正在访问服务器的输出外,我不知道如何编写查询。如果您知道一些相关信息,请在这里分享您的想法,非常感谢。
答案 0 :(得分:0)
访问VM或登录到VM?
登录到VM将是操作系统日志记录,例如Windows事件审核日志或任何Linux日志。 访问虚拟机将是网络流量,或换句话说:将需要配置Network Watcher的NSG流日志。您将能够看到哪个源在哪个时间点尝试访问哪个端口(RDP / SSH)
因此,您可以通过匹配时间戳将这两个日志相互关联。 AFAIK门户以及因此来自Azure本身的日志,不会跟踪哪个人试图访问VM进行登录。 我相信有可能将Windows事件日志发送到Log Analytics,或者实际上是让Log Analytics提取事件日志,而没有Linux日志的线索。因此,这只是整体的一部分,我不知道您是否可以对NSG流日志执行相同的操作。