mdanshin/get-rdpconnections.ps1

## get-rdpconnections.ps1
# Задание имени журнала событий, из которого будем получать данные.
$LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'

# Имя пользователя, для которого не будем обрабатывать события.
$ExcludedUsername = "DOMAIN\username"

# Имя компьютера, с которого получаем события.
$ComputerName = "localhost"

# Определение функции IP2Name для преобразования IP-адреса в имя хоста с помощью Resolve-DnsName.
function IP2Name($IP) {
    Resolve-DnsName -Name $IP -ErrorAction SilentlyContinue | Select-Object -ExpandProperty NameHost
}

# Создание пустого массива для хранения результатов.
$Results = @()

# Получение событий из журнала событий с определенным идентификатором.
$Events = Get-WinEvent -LogName $LogName -ComputerName $ComputerName | Where-Object {$_.id -eq 21}

# Перебор каждого события в коллекции событий.
foreach ($Event in $Events) {
    # Извлечение XML-данных из события.
    $EventXml = [xml]$Event.ToXML()

    # Извлечение имени пользователя из XML-данных.
    $Username = $EventXml.Event.UserData.EventXML.User

    # Проверка, что имя пользователя не равно исключенному имени.
    if ($Username -ne $ExcludedUsername) {
        # Создание хэш-таблицы для хранения результатов текущего события.
        $ResultHash = @{
            Time            = $Event.TimeCreated.ToString()
            Username        = $Username
            'Source IP'     = $EventXml.Event.UserData.EventXML.Address
            'Source HostName' =  IP2Name($EventXml.Event.UserData.EventXML.Address)
        }

        # Создание объекта PSObject с использованием хэш-таблицы и добавление его к массиву результатов.
        $Results += (New-Object PSObject -Property $ResultHash)
    }
}

# Сортировка результатов по времени в убывающем порядке.
$ResultsSorted = $Results | Sort-Object -Descending {[DateTime]::Parse($_.Time)}

# Отформатированный вывод результатов в виде таблицы с автоматической подстройкой ширины столбцов.
$ResultsSorted | Format-Table -AutoSize
	# Задание имени журнала событий, из которого будем получать данные.
	$LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'

	# Имя пользователя, для которого не будем обрабатывать события.
	$ExcludedUsername = "DOMAIN\username"

	# Имя компьютера, с которого получаем события.
	$ComputerName = "localhost"

	# Определение функции IP2Name для преобразования IP-адреса в имя хоста с помощью Resolve-DnsName.
	function IP2Name($IP) {
	Resolve-DnsName -Name $IP -ErrorAction SilentlyContinue \| Select-Object -ExpandProperty NameHost
	}

	# Создание пустого массива для хранения результатов.
	$Results = @()

	# Получение событий из журнала событий с определенным идентификатором.
	$Events = Get-WinEvent -LogName $LogName -ComputerName $ComputerName \| Where-Object {$_.id -eq 21}

	# Перебор каждого события в коллекции событий.
	foreach ($Event in $Events) {
	# Извлечение XML-данных из события.
	$EventXml = [xml]$Event.ToXML()

	# Извлечение имени пользователя из XML-данных.
	$Username = $EventXml.Event.UserData.EventXML.User

	# Проверка, что имя пользователя не равно исключенному имени.
	if ($Username -ne $ExcludedUsername) {
	# Создание хэш-таблицы для хранения результатов текущего события.
	$ResultHash = @{
	Time = $Event.TimeCreated.ToString()
	Username = $Username
	'Source IP' = $EventXml.Event.UserData.EventXML.Address
	'Source HostName' = IP2Name($EventXml.Event.UserData.EventXML.Address)
	}

	# Создание объекта PSObject с использованием хэш-таблицы и добавление его к массиву результатов.
	$Results += (New-Object PSObject -Property $ResultHash)
	}
	}

	# Сортировка результатов по времени в убывающем порядке.
	$ResultsSorted = $Results \| Sort-Object -Descending {[DateTime]::Parse($_.Time)}

	# Отформатированный вывод результатов в виде таблицы с автоматической подстройкой ширины столбцов.
	$ResultsSorted \| Format-Table -AutoSize