在进行事件响应时，事件日志是一个绝佳的取证证据来源。特别是，在调查基于网络的入侵时，横向移动往往是最难识别的行为之一。

日志文件 Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx 中的事件ID 1024是一个有时会被忽略的事件，它专门与远程桌面中的ActiveX控件相关。

内置的ActiveX控件允许管理员通过提供可脚本化接口来配置RDP用户体验，例如，允许将RDP ActiveX控件嵌入网页，以及配置URL安全区域。

事件ID 1024包含以下消息： “RDP ClientActiveX is trying to connect to the server (IP.ADDRESS OR HOSTNAME)” 此处显示的是IP地址还是主机名，取决于在远程桌面GUI的“计算机”字段中输入的内容。

（在测试中）当用户通过Windows中的RDP客户端MSTSC.exe按下“连接”按钮发起RDP连接时，就会生成此事件ID。

其优点是，无论会话是否成功连接，都会创建事件1024条目。 这意味着，即使攻击者未能成功通过RDP连接到另一台计算机，我们仍可能看到其尝试的证据。此外，此日志的保存时间可能比其他日志更长。例如，安全日志可能只覆盖一天的活动，而你可能会在此日志中找到数月之久的证据。

当与安全事件4648和其他远程计算机的RDP日志结合分析时，这可以显示出对远程（目标）计算机的尝试连接或成功连接及认证行为。

参考链接： https://nullsec.us/windows-rdp-related-event-logs-the-client-side-of-the-story/ https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4648 https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/