Я подключаюсь к своему рабочему ПК через VPN / RDP и хочу найти на своем рабочем компьютере файл журнала, в котором будет содержаться некоторая информация о том, когда я использовал его в последний раз, откуда возникло мое соединение и как долго оно длилось. Где в Windows 7 я бы посмотрел, чтобы узнать это?
Ответы:
Если вы смотрите на программу просмотра событий как администратор, то, насколько я знаю, есть журналы сервера, но не для входа / выхода.
Пожалуйста, проверьте дерево просмотра событий с левой стороны в разделе «Журналы приложений и служб -> Windows -> TerminalServices- *», где * - все журналы там. Я думаю, что вы больше всего заинтересованы в операционном журнале TerminalService-LocalSessionManager. Идентификатор события 21 предоставит IP-адрес входящего соединения.
Существует также узел «RemoteDesktopServices-RemoteDesktopSessionManager» в дереве просмотра событий в левой части под «Журналы приложений и служб -> Windows». Только роль администратора может просматривать файл, в который я верю. Пожалуйста, подтвердите и дайте мне знать, если это касается вашего варианта использования.
Возможно, попробуйте это также для входа в систему / выхода из системы: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Просмотрите раздел «Журналы приложений и служб»> «Microsoft»> «Windows»> «TerminalServices-ClientActiveXCore»> «Microsoft-Windows-TerminalServices-RDPClient / Operation»,
В этом журнале будут события, содержащие имя сервера, к которому конечный пользователь попытался подключиться по протоколу RDP.
Я не могу рассказать вам, как проверить свою рабочую машину, когда вы установили VPN, поскольку предположительно это не VPN-сервер (?). Однако, если вы используете Remote Desktop Connection для управления этим рабочим ПК, вы можете получить время входа / выхода из программы просмотра событий.
Посмотрите в журналах безопасности для тех. Вход в RDP - это Event ID 4624просто поиск 4624, который не сработает. В рамках события вам нужно, чтобы значение Logon Type было «10», а значение SecurityID - вашим. Не уверен, как отфильтровать эти ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Я нашел информацию в окне просмотра событий в разделе «Журналы / безопасность Windows», которую вы увидите в разделе «События входа и выхода из категории задач».
В вашем случае вам необходимо просмотреть TerminalServices-LocalSessionManagerи TerminalServices-RemoteConnectionManagerжурналы с вашего компьютера.
Вы также можете проверить отличный сторонний инструмент под названием SysKit, ранее Terminal Services Log . Он будет генерировать вам все виды отчетов из журналов и сэкономит вам кучу времени, если вы захотите получить все подробности о RDP-соединениях и прочем.
Пожалуйста, обратите внимание: я связан с Acceleratio, создателем инструмента, упомянутого выше, поэтому я могу быть немного предвзятым здесь.
Используйте команду quser, чтобы показать сеансы.
Затем вы увидите что-то вроде ID 1, 2 или 4. Затем введите Logoff 4, чтобы выйти из этого сеанса.
Вы также можете набрать сеанс запроса или qwinsta (оба - одно и то же). Показать, кто включен и какой порт прослушивает и т. Д.