Op Spiceworks had ik een leuk powershell script gevonden dat de eventviewer van de TerminalServicdsGateway uitleest. Dit beperkte zich echter enkel tot de username, timestamp en publiek ip-adres. Het is wenselijk indien je meerdere terminal servers gebruikt, of enkele werkplekken hebt die over te nemen zijn ivm specifieke software, om ook het “Resource” veld uit te lezen.
$Events = Get-WinEvent -FilterHashtable @{Logname = "Microsoft-Windows-TerminalServices-Gateway/Operational" ; ID = 300,302,303}
$ArrayList = New-Object System.Collections.ArrayList
Foreach ($Event in $Events)
{
[xml]$Xml = $Event.ToXml()
$Row = "" | Select Username,TimeCreated,Resource,IPAddress
$Row.Username = $Xml.Event.UserData.EventInfo.Username
$Row.TimeCreated = $Event.TimeCreated.ToString()
$Row.Resource = $Xml.Event.UserData.EventInfo.Resource
$Row.IPAddress = $Xml.Event.UserData.EventInfo.IpAddress
[void]$ArrayList.Add($Row)
}
$ArrayList | export-csv e:\rdpgwlog.csv -nti
Dit geeft een overzicht zoals hieronder getoond:
