Win2000 Server入侵监测揭秘

核心提示： time /t >>TSLog.lognetstat -n -p tcp | find ":3389">>TSLog.logstart Explorer 我来解释一下这个文件的含义： 第一行是记录用户登录的时间，time /t的意思是直接返回系统

time /t >>TSLog.log
　　netstat -n -p tcp | find ":3389">>TSLog.log
　　start Explorer

我来解释一下这个文件的含义：

第一行是记录用户登录的时间，time /t的意思是直接返回系统时间（如果不加/t，系统会等待你输入新的时间），然后我们用追加符号">>"把这个时间记入TSLog.log作为日志的时间字段；

第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号"|"把这个命令的结果输出给find命令，从输出结果中查找包含":3389"的行（这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改），最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，记录格式如下：

22:40
　　TCP　　192.168.12.28:3389　　192.168.10.123:4903　　　ESTABLISHED
　　22:54
　　TCP　　192.168.12.28:3389　　 192.168.12.29:1039　　　ESTABLISHED

也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢？我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本（相当于shell环境）是Explorer（资源管理器），所以我在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer，如果不加这一行命令，用户是没有办法进入桌面的！当然，如果你只需要给用户特定的Shell：