มีไฟล์บันทึกสำหรับการเชื่อมต่อ RDP หรือไม่

31

ฉันเชื่อมต่อกับพีซีที่ทำงานของฉันผ่าน VPN / RDP และฉันต้องการค้นหาไฟล์บันทึกในพีซีที่ทำงานของฉันซึ่งจะรวมถึงข้อมูลบางอย่างเมื่อฉันใช้มันครั้งสุดท้ายจากที่การเชื่อมต่อของฉันเกิดขึ้นและนานแค่ไหน ฉันจะหาคำตอบได้ที่ไหนใน Windows 7

windows-7 remote-desktop

— ดาริอัส
แหล่งที่มา

สิ่งนี้ไม่ควรเกิดขึ้นบนเซิร์ฟเวอร์ผิดหรือเปล่า

— Pacerier

39

หากคุณดูที่ตัวแสดงเหตุการณ์ในฐานะผู้ดูแลระบบจะมีบันทึกเซิร์ฟเวอร์ แต่ไม่ใช่สำหรับการเข้าสู่ระบบ / ออกจากระบบเท่าที่ฉันรู้

โปรดตรวจสอบทรี Event Viewer ทางด้านซ้ายใต้ "แอปพลิเคชันและบริการบันทึก -> Windows -> TerminalServices- *" โดยที่ * เป็นบันทึกทั้งหมดที่มี ฉันคิดว่าคุณสนใจบันทึกการทำงานของ TerminalService-LocalSessionManager มากที่สุด รหัสเหตุการณ์ 21 จะให้ที่อยู่ IP ของการเชื่อมต่อที่เข้ามา

นอกจากนี้ยังมีโหนด "RemoteDesktopServices-RemoteDesktopSessionManager" ในแผนผังตัวแสดงเหตุการณ์ทางด้านซ้ายภายใต้ "แอปพลิเคชันและบริการบันทึก -> Windows" เฉพาะบทบาทผู้ดูแลระบบที่ได้รับอนุญาตให้ดูไฟล์ที่ฉันเชื่อ โปรดยืนยันและแจ้งให้เราทราบหากนี่คือกรณีการใช้งานของคุณ

อาจลองทำเช่นนี้เพื่อเข้าสู่ระบบเข้าสู่ระบบ / ออกจากระบบเช่นกัน: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true

— Jarrod Wageman
แหล่งที่มา

3

จริง ๆ แล้ว TerminalService-LocalSessionManager Operational หรือ TerminalService-RemoteConnectionManager Operational ใช้งานได้สำหรับฉัน ฉันสามารถดูชื่อผู้ใช้และ dhcp IP ได้จากที่นั่น ขอบคุณ

— Darius

3

ดูภายใต้ 'บันทึกการใช้งานและบริการ'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation'

บันทึกนี้จะมีเหตุการณ์ที่มีชื่อเซิร์ฟเวอร์ซึ่งผู้ใช้ปลายทางพยายามเชื่อมต่อ RDP เข้า

— หนาม
แหล่งที่มา

และหากที่ว่างคุณอาจโชคดีและมีรายการใน TerminalServices-RemoteConnectionManager

— mbx

1

ฉันบอกวิธีการตรวจสอบจากเครื่องทำงานของคุณไม่ได้เมื่อคุณสร้าง VPN ขึ้นมาสมมุติว่าไม่ใช่เซิร์ฟเวอร์ VPN (?) แต่ถ้าคุณกำลังใช้เชื่อมต่อ Remote Desktop ในการควบคุมการทำงานเครื่องคอมพิวเตอร์ที่คุณอาจจะสามารถที่จะดึงเวลาเข้าสู่ระบบ / ออกจากระบบจากเหตุการณ์ Viewer

ดูในบันทึกความปลอดภัยสำหรับสิ่งเหล่านั้น การเข้าสู่ระบบ RDP เป็นEvent ID 4624เพียงการค้นหา 4624 จะไม่ทำงาน ภายในกิจกรรมคุณต้องใช้ค่า Logon Type เป็น "10" และค่า SecurityID เพื่อเป็นของคุณ ไม่แน่ใจว่าจะกรอง ...

— Chris_K
แหล่งที่มา

ใช้งานได้ดี แต่บันทึกที่ฉันได้จากคำตอบของ Jarod นั้นย่อยง่ายขึ้น

— Darius

คุณสามารถเปิด XML

<QueryList>   <Query Id="0" Path="Security">     <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select>   </Query> </QueryList>

แท็บโต้ตอบตัวกรองให้ตรวจสอบแก้ไขกล่องด้วยตนเองและป้อน

— mynetx

0

ฉันพบข้อมูลใน Event Viewer ภายใต้ Windows Logs / Security คุณจะเห็นภายใต้หมวดหมู่งานเข้าสู่ระบบและเหตุการณ์ออกจากระบบ

— Howard Mitchell
แหล่งที่มา

ไม่แน่ใจว่าคุณกำลังมองหาที่ใด แต่พื้นที่นั้นไม่ได้ให้ข้อมูลที่ฉันขอ

— Darius

1

RDP ยังสามารถเชื่อมต่อกับเซสชันที่มีอยู่อีกครั้งซึ่งในกรณีนี้จะไม่มีเหตุการณ์การเข้าสู่ระบบ

— Ben Voigt

@BenVoigt การออกจากระบบอาจไม่ได้มาจาก RDP ใช่ไหม

— Pacerier

0

ในกรณีของคุณคุณต้องตรวจสอบTerminalServices-LocalSessionManagerและTerminalServices-RemoteConnectionManagerบันทึกจากคอมพิวเตอร์ของคุณ

นอกจากนี้คุณยังสามารถตรวจสอบเครื่องมือที่ดีเยี่ยมของบุคคลที่สามเรียกว่าSysKit เดิม Terminal Services เข้าสู่ระบบ มันจะสร้างรายงานทุกประเภทจากบันทึกและจะช่วยคุณประหยัดเวลาถ้าคุณต้องการรับรายละเอียดทั้งหมดเกี่ยวกับการเชื่อมต่อ RDP และข้อมูลอื่น ๆ

โปรดทราบ: ฉันเป็นพันธมิตรกับ Acceleratio ผู้สร้างเครื่องมือดังกล่าวข้างต้นดังนั้นฉันอาจจะลำเอียงเล็กน้อยที่นี่

— MatijaB
แหล่งที่มา

1

ราคา syskit ค่อนข้างชัน :(

— sdjuan

ถ้าคุณกล่าวถึงเครื่องมือที่เป็นโอเพนซอร์สเช่นกันในคำตอบของคุณฉันต้องการมันมากยิ่งขึ้น :)

— Darius

0

ใช้คำสั่งquserเพื่อแสดงเซสชัน

จากนั้นคุณจะเห็นบางสิ่งบางอย่างเช่น ID 1 หรือ 2 หรือ 4 จากนั้นพิมพ์ Logoff 4 เพื่อออกจากเซสชันนั้น

นอกจากนี้คุณยังสามารถพิมพ์ข้อความค้นหาเซสชันหรือqwinsta (ทั้งสองเป็นสิ่งเดียวกัน) แสดงว่าใครเป็นใครและพอร์ตใดที่กำลังฟังอยู่เป็นต้น

— ฝ่ายช่วยเหลือ Norcal
แหล่งที่มา