Apakah ada file log untuk koneksi RDP?

31

Saya terhubung ke PC kantor saya melalui VPN / RDP dan saya ingin mencari file log pada PC kantor saya yang akan menyertakan beberapa informasi tentang kapan saya menggunakannya terakhir, dari mana koneksi saya berasal dan berapa lama berlangsung. Di mana pada Windows 7 saya akan mencari tahu?

Darius
sumber
Bukankah ini seharusnya ada di serverfault?
Pacerier

Jawaban:

39

Jika Anda melihat penampil acara sebagai administrator ada log server tetapi tidak untuk login / logout sejauh yang saya tahu.

Silakan periksa pohon Peraga Peristiwa di sisi kiri di bawah "Aplikasi dan Log Layanan -> Windows -> TerminalServices- *" di mana * adalah semua log di sana. Saya pikir Anda paling tertarik dengan log Operasional TerminalService-LocalSessionManager. ID Peristiwa 21 akan memberikan alamat IP dari koneksi yang masuk.

Ada juga simpul "RemoteDesktopServices-RemoteDesktopSessionManager" di pohon penampil acara di sisi kiri di bawah "Aplikasi dan Log Layanan -> Windows". Hanya peran Administrator yang diizinkan untuk melihat file yang saya percaya. Harap konfirmasi dan beri tahu saya jika ini mengatasi kasus penggunaan Anda.

Mungkin coba ini untuk masuk log / logout juga: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true

Jarrod Wageman
sumber
3
Sebenarnya baik Operasional TerminalService-LocalSessionManager atau Operasional TerminalService-RemoteConnectionManager bekerja untuk saya. Saya dapat melihat nama pengguna dan IP dhcp dari sana. Terima kasih.
Darius
3

Lihat di bawah 'Log Aplikasi dan Layanan'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation',

Log ini akan memiliki peristiwa yang berisi nama server tempat pengguna akhir berusaha menghubungkan RDP.

Thor N
sumber
dan jika itu kosong, Anda mungkin beruntung dan memiliki entri di TerminalServices-RemoteConnectionManager.
mbx
1

Saya tidak dapat memberi tahu Anda cara memeriksa dari mesin kerja Anda ketika Anda membuat VPN karena mungkin itu bukan server VPN (?). Namun, jika Anda menggunakan Remote Desktop Connection untuk mengontrol PC yang berfungsi, Anda mungkin dapat menarik kali logon / logoff dari Peraga Peristiwa.

Lihat di log Keamanan untuk itu. Log masuk RDP adalah Event ID 4624tetapi hanya mencari 4624 tidak akan bekerja. Dalam acara tersebut Anda membutuhkan nilai Tipe Masuk menjadi "10" dan nilai SecurityID menjadi milik Anda. Tidak yakin cara memfilter ...

Chris_K
sumber
Ini berfungsi juga tetapi log yang bisa saya dapatkan dari jawaban Jarod lebih mudah dicerna.
Darius
Anda dapat membuka tab XML pada dialog Filter, centang kotak Edit secara manual dan masukkan <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
mynetx
0

Saya menemukan informasi di Event Viewer di Windows Logs / Security Anda akan melihat di bawah kategori tugas masuk dan peristiwa logoff.

Howard Mitchell
sumber
Tidak sepenuhnya yakin di mana Anda mencari tetapi area itu tidak memberikan informasi yang saya minta.
Darius
1
RDP juga dapat menyambung kembali ke sesi yang ada, dalam hal ini tidak akan ada acara masuk.
Ben Voigt
@ BenVoigt, Log masuk logoff mungkin juga bukan dari RDP kan?
Pacerier
0

Dalam kasus Anda, Anda perlu meninjau TerminalServices-LocalSessionManagerdan TerminalServices-RemoteConnectionManagermencatat dari komputer Anda.

Anda juga dapat memeriksa alat pihak ketiga yang sangat baik yang disebut SysKit, sebelumnya Log Layanan Terminal . Ini akan menghasilkan Anda semua jenis laporan dari log dan akan menghemat banyak waktu jika Anda ingin mendapatkan semua detail tentang koneksi RDP dan hal-hal lainnya.

Harap dicatat: Saya berafiliasi dengan Acceleratio, pembuat alat yang disebutkan di atas, jadi saya mungkin sedikit bias di sini.

MatijaB
sumber
1
harga syskit sedikit curam :(
sdjuan
Jika Anda menyebutkan alat yang juga merupakan sumber terbuka dalam jawaban Anda, saya akan semakin menyukainya :)
Darius
0

Gunakan quser perintah untuk menampilkan sesi.

Kemudian Anda akan melihat sesuatu seperti ID 1 atau 2 atau 4. Kemudian ketik Logoff 4 untuk keluar dari sesi itu.

Anda juga dapat mengetik sesi kueri atau qwinsta (keduanya adalah hal yang sama) Tunjukkan siapa yang ada dan apa port yang mendengarkan dll.

Norcal Helpdesk
sumber