是否有 RDP 连接的日志文件？

Question 1

如果您以管理员身份查看事件查看器，则会有服务器日志，但据我所知，没有登录/注销日志。

请查看左侧“应用程序和服务日志 -> Windows -> TerminalServices-*”下的事件查看器树，其中 * 是那里的所有日志。我认为您最感兴趣的是 TerminalService-LocalSessionManager 操作日志。事件 ID 21 将提供传入连接的 IP 地址。

事件查看器树左侧的“应用程序和服务日志 -> Windows”下还有一个“RemoteDesktopServices-RemoteDesktopSessionManager”节点。我认为只有管理员角色才允许查看该文件。请确认并告知我这是否解决了您的使用案例。

Answer

如果您以管理员身份查看事件查看器，则会有服务器日志，但据我所知，没有登录/注销日志。

请查看左侧“应用程序和服务日志 -> Windows -> TerminalServices-*”下的事件查看器树，其中 * 是那里的所有日志。我认为您最感兴趣的是 TerminalService-LocalSessionManager 操作日志。事件 ID 21 将提供传入连接的 IP 地址。

事件查看器树左侧的“应用程序和服务日志 -> Windows”下还有一个“RemoteDesktopServices-RemoteDesktopSessionManager”节点。我认为只有管理员角色才允许查看该文件。请确认并告知我这是否解决了您的使用案例。

Question 2

查看“应用程序和服务日志”>“Microsoft”>“Windows”>“TerminalServices-ClientActiveXCore”>“Microsoft-Windows-TerminalServices-RDPClient/Operation”，

该日志将包含最终用户尝试连接 RDP 的服务器名称的事件。

Answer

查看“应用程序和服务日志”>“Microsoft”>“Windows”>“TerminalServices-ClientActiveXCore”>“Microsoft-Windows-TerminalServices-RDPClient/Operation”，

该日志将包含最终用户尝试连接 RDP 的服务器名称的事件。

Question 3

我无法告诉你如何从你的工作电脑上检查你何时建立了 VPN，因为它可能不是 VPN 服务器（？）。但是，如果你使用远程桌面连接来控制那台工作电脑，你可能能够从事件查看器中提取登录/注销时间。

在安全日志中查找这些。RDP 登录是一种，Event ID 4624但仅搜索 4624 是行不通的。在这种情况下，您需要将登录类型值设为“10”，并将 SecurityID 值设为您的。不确定如何过滤这些...

Answer

我无法告诉你如何从你的工作电脑上检查你何时建立了 VPN，因为它可能不是 VPN 服务器（？）。但是，如果你使用远程桌面连接来控制那台工作电脑，你可能能够从事件查看器中提取登录/注销时间。

在安全日志中查找这些。RDP 登录是一种，Event ID 4624但仅搜索 4624 是行不通的。在这种情况下，您需要将登录类型值设为“10”，并将 SecurityID 值设为您的。不确定如何过滤这些...

Question 4

对于您来说，您需要从您的计算机中查看TerminalServices-LocalSessionManager和记录。TerminalServices-RemoteConnectionManager

您还可以查看一个名为SysKit，以前称为终端服务日志。它将根据日志生成各种报告，如果您想获取有关 RDP 连接和其他内容的所有详细信息，它将为您节省大量时间。

请注意：我与上述工具的制造商 Acceleratio 有关系，所以我在这里可能会有点偏见。

Answer

对于您来说，您需要从您的计算机中查看TerminalServices-LocalSessionManager和记录。TerminalServices-RemoteConnectionManager

您还可以查看一个名为SysKit，以前称为终端服务日志。它将根据日志生成各种报告，如果您想获取有关 RDP 连接和其他内容的所有详细信息，它将为您节省大量时间。

请注意：我与上述工具的制造商 Acceleratio 有关系，所以我在这里可能会有点偏见。

相关内容