Есть ли файл журнала для соединений RDP?


31

Я подключаюсь к своему рабочему ПК через VPN / RDP и хочу найти на своем рабочем компьютере файл журнала, в котором будет содержаться некоторая информация о том, когда я использовал его в последний раз, откуда возникло мое соединение и как долго оно длилось. Где в Windows 7 я бы посмотрел, чтобы узнать это?


Разве это не должно быть на сервере?
Pacerier

Ответы:


39

Если вы смотрите на программу просмотра событий как администратор, то, насколько я знаю, есть журналы сервера, но не для входа / выхода.

Пожалуйста, проверьте дерево просмотра событий с левой стороны в разделе «Журналы приложений и служб -> Windows -> TerminalServices- *», где * - все журналы там. Я думаю, что вы больше всего заинтересованы в операционном журнале TerminalService-LocalSessionManager. Идентификатор события 21 предоставит IP-адрес входящего соединения.

Существует также узел «RemoteDesktopServices-RemoteDesktopSessionManager» в дереве просмотра событий в левой части под «Журналы приложений и служб -> Windows». Только роль администратора может просматривать файл, в который я верю. Пожалуйста, подтвердите и дайте мне знать, если это касается вашего варианта использования.

Возможно, попробуйте это также для входа в систему / выхода из системы: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true


3
На самом деле либо TerminalService-LocalSessionManager Operational, либо TerminalService-RemoteConnectionManager Operational работают для меня. Я могу видеть имя пользователя и IP-адрес DHCP оттуда. Спасибо.
Дарий

3

Просмотрите раздел «Журналы приложений и служб»> «Microsoft»> «Windows»> «TerminalServices-ClientActiveXCore»> «Microsoft-Windows-TerminalServices-RDPClient / Operation»,

В этом журнале будут события, содержащие имя сервера, к которому конечный пользователь попытался подключиться по протоколу RDP.


и если это пусто, вам может повезти, и у вас есть записи в TerminalServices-RemoteConnectionManager.
mbx

1

Я не могу рассказать вам, как проверить свою рабочую машину, когда вы установили VPN, поскольку предположительно это не VPN-сервер (?). Однако, если вы используете Remote Desktop Connection для управления этим рабочим ПК, вы можете получить время входа / выхода из программы просмотра событий.

Посмотрите в журналах безопасности для тех. Вход в RDP - это Event ID 4624просто поиск 4624, который не сработает. В рамках события вам нужно, чтобы значение Logon Type было «10», а значение SecurityID - вашим. Не уверен, как отфильтровать эти ...


Это также работает, но журнал, который я могу получить из ответа Джарода, легче переварить.
Дарий

Вы можете открыть вкладку XML в диалоговом окне «Фильтр», установить флажок «Редактировать вручную» и ввести <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
mynetx

0

Я нашел информацию в окне просмотра событий в разделе «Журналы / безопасность Windows», которую вы увидите в разделе «События входа и выхода из категории задач».


Не совсем уверен, где вы искали, но эта область не предоставляет информацию, которую я запрашивал.
Дарий

1
RDP также может повторно подключиться к существующему сеансу, и в этом случае событие входа не будет.
Бен Фойгт

@BenVoigt, выход из системы также может быть не из RDP, верно?
Pacerier

0

В вашем случае вам необходимо просмотреть TerminalServices-LocalSessionManagerи TerminalServices-RemoteConnectionManagerжурналы с вашего компьютера.

Вы также можете проверить отличный сторонний инструмент под названием SysKit, ранее Terminal Services Log . Он будет генерировать вам все виды отчетов из журналов и сэкономит вам кучу времени, если вы захотите получить все подробности о RDP-соединениях и прочем.

Пожалуйста, обратите внимание: я связан с Acceleratio, создателем инструмента, упомянутого выше, поэтому я могу быть немного предвзятым здесь.


1
цена syskit немного крутая :(
sdjuan

Если вы упомянули в своем ответе инструмент с открытым исходным кодом, я бы хотел его еще больше :)
Дариус

0

Используйте команду quser, чтобы показать сеансы.

Затем вы увидите что-то вроде ID 1, 2 или 4. Затем введите Logoff 4, чтобы выйти из этого сеанса.

Вы также можете набрать сеанс запроса или qwinsta (оба - одно и то же). Показать, кто включен и какой порт прослушивает и т. Д.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.