Łączę się z moim komputerem roboczym przez VPN / RDP i chciałbym znaleźć plik dziennika na moim komputerze roboczym, który zawierałby informacje o tym, kiedy użyłem go ostatnio, skąd pochodzi moje połączenie i jak długo ono trwało. Gdzie w Windows 7 chciałbym to sprawdzić?
windows-7
remote-desktop
Dariusz
źródło
źródło
Odpowiedzi:
Jeśli spojrzysz na podgląd zdarzeń jako administrator, istnieją dzienniki serwera, ale o ile wiem, nie do logowania / wylogowywania.
Sprawdź drzewo Podglądu zdarzeń po lewej stronie w sekcji „Dzienniki aplikacji i usług -> Windows -> Usługi terminalowe- *”, gdzie * są tam wszystkie dzienniki. Myślę, że najbardziej interesuje Cię dziennik operacyjny TerminalService-LocalSessionManager. Identyfikator zdarzenia 21 poda adres IP połączenia przychodzącego.
Istnieje również węzeł „RemoteDesktopServices-RemoteDesktopSessionManager” w drzewie przeglądarki zdarzeń po lewej stronie w „Dzienniki aplikacji i usług -> Windows”. Wierzę, że tylko rola Administrator może wyświetlać plik. Potwierdź i daj mi znać, jeśli dotyczy to Twojego przypadku użycia.
Może spróbuj tego również w celu zalogowania / wylogowania: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
źródło
Zajrzyj do „Dzienników aplikacji i usług”> „Microsoft”> „Windows”> „TerminalServices-ClientActiveXCore”> „Microsoft-Windows-TerminalServices-RDPClient / Operation”,
W tym dzienniku będą znajdować się zdarzenia zawierające nazwę serwera, do którego użytkownik końcowy próbował podłączyć RDP.
źródło
Nie mogę ci powiedzieć, jak sprawdzić na swoim komputerze roboczym po ustanowieniu VPN, ponieważ prawdopodobnie nie jest to serwer VPN (?). Jeśli jednak używasz Podłączania pulpitu zdalnego do sterowania tym działającym komputerem, być może będziesz mógł pobrać czasy logowania / wylogowania z Podglądu zdarzeń.
Poszukaj w nich dzienników zabezpieczeń. Logowania RDP to
Event ID 4624tylko wyszukiwanie 4624 nie będzie działać. W przypadku zdarzenia wartość Typ logowania musi wynosić „10”, a wartość SecurityID - Twoja. Nie wiesz, jak je filtrować ...źródło
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.Znalazłem informacje w Podglądzie zdarzeń w obszarze Dzienniki / zabezpieczenia systemu Windows, które zobaczysz w kategorii logowania i zdarzeń wylogowania.
źródło
W twoim przypadku musisz przejrzeć
TerminalServices-LocalSessionManageriTerminalServices-RemoteConnectionManagerzalogować się na swoim komputerze.Możesz także sprawdzić doskonałe narzędzie innej firmy o nazwie SysKit, dawniej Dziennik usług terminalowych . Wygeneruje on wszelkiego rodzaju raporty z dzienników i pozwoli ci zaoszczędzić sporo czasu, jeśli chcesz uzyskać wszystkie szczegóły dotyczące połączeń RDP i innych rzeczy.
Uwaga: jestem związany z Acceleratio, twórcami wspomnianego powyżej narzędzia, więc mogę tu być nieco stronniczy.
źródło
Użyj kwerendy poleceń, aby wyświetlić sesje.
Następnie zobaczysz coś takiego jak ID 1 lub 2 lub 4. Następnie wpisz Logoff 4, aby wylogować się z tej sesji.
Możesz także wpisać sesję zapytania lub qwinsta (obie są tym samym) Pokaż, kto jest włączony i jaki port nasłuchuje itp.
źródło