Oft kommt die Frage nach einem Sensor, um zu überprüfen, wann welcher User am RDP Server angemeldet war. Der Sensor sollte am besten eine Auflistung bzw. Historie liefern.
Der Sensor "Aktive Sitzungsüberprüfung" zeigt alle User, die zum Intervallzeitpunkt angemeldet sind, allerdings nur als Momentaufnahme ohne Historie.
Wir können momentan einen solchen Sensor nicht anbieten aus 3 Gründen:
1) Es gibt auf Benutzerebene keine technische Möglichkeit, eine Historie sauber auszulesen und zu speichern
2) Eine Überwachung, wann welcher User sich einloggt stellt in einigen Fällen / Unternehmen einen Einschnitt in die Privatsphäre der Benutzer dar und verstößt gegen die Datenschutzrichtlinien, da es im Prinzip "Einer Überwachung des Mitarbeiters" gleichgesetzt werden kann.
3) Der Sensorwunsch stellt keinen klassischen Sensor im Sinne einer Überwachung eines Fehlerszenarios dar. In einer Historie gibt es keinen Fehlerfall, daher auch keine Alarmierung und daher auch keine Statuswechsel. Eine Historie wäre ein rein informative Ansicht ohne Fehlerfall. Du kannst diesen Wunsch aber z.B. via Powershell Script abbilden:
PowerShell Skript für das chronlogische Darstellen von Benutzersitzungen:
https://gallery.technet.microsoft.com/scriptcenter/Log-Parser-to-Identify-8aac36bd
Voraussetzung ist hier aber, dass im Eventlog die Sicherheitsereignisse protokolliert und nicht geleert werden.
Der Sensor "Aktive Sitzungsüberprüfung" zeigt alle User, die zum Intervallzeitpunkt angemeldet sind, allerdings nur als Momentaufnahme ohne Historie.
Wir können momentan einen solchen Sensor nicht anbieten aus 3 Gründen:
1) Es gibt auf Benutzerebene keine technische Möglichkeit, eine Historie sauber auszulesen und zu speichern
2) Eine Überwachung, wann welcher User sich einloggt stellt in einigen Fällen / Unternehmen einen Einschnitt in die Privatsphäre der Benutzer dar und verstößt gegen die Datenschutzrichtlinien, da es im Prinzip "Einer Überwachung des Mitarbeiters" gleichgesetzt werden kann.
3) Der Sensorwunsch stellt keinen klassischen Sensor im Sinne einer Überwachung eines Fehlerszenarios dar. In einer Historie gibt es keinen Fehlerfall, daher auch keine Alarmierung und daher auch keine Statuswechsel. Eine Historie wäre ein rein informative Ansicht ohne Fehlerfall. Du kannst diesen Wunsch aber z.B. via Powershell Script abbilden:
PowerShell Skript für das chronlogische Darstellen von Benutzersitzungen:
https://gallery.technet.microsoft.com/scriptcenter/Log-Parser-to-Identify-8aac36bd
Voraussetzung ist hier aber, dass im Eventlog die Sicherheitsereignisse protokolliert und nicht geleert werden.