尝试 FullEventLogView

Question 1

其中有相关的日志文件\WINDOWS\system32\LogFiles可能会有所帮助。还可以从事件查看器 ( Run > eventvwr.exeOR Control Panel > Admin Tools > Event Viewer) 获取系统信息并查找系统日志。

但是，根据当地设置，这两个位置都可能为空。

可以配置 Windows 防火墙来记录 VPN 连接，但这不是默认设置。检查Control Panel > Windows Firewall > [Advanced tab]，默认位置是C:\WINDOWS\pfirewall.log日志文件的位置。

所使用的特定应用程序可能已保存日志数据。如果您知道所连接的 IP 地址，则可以对包含该 IP 地址的文件进行常规搜索（但这样找不到压缩日志或非 ASCII 日志数据）。

Answer

其中有相关的日志文件\WINDOWS\system32\LogFiles可能会有所帮助。还可以从事件查看器 ( Run > eventvwr.exeOR Control Panel > Admin Tools > Event Viewer) 获取系统信息并查找系统日志。

但是，根据当地设置，这两个位置都可能为空。

可以配置 Windows 防火墙来记录 VPN 连接，但这不是默认设置。检查Control Panel > Windows Firewall > [Advanced tab]，默认位置是C:\WINDOWS\pfirewall.log日志文件的位置。

所使用的特定应用程序可能已保存日志数据。如果您知道所连接的 IP 地址，则可以对包含该 IP 地址的文件进行常规搜索（但这样找不到压缩日志或非 ASCII 日志数据）。

Question 2

扩展@pbhj的答案，我成功找到以下日志这些说明，总结如下：

通过“开始”菜单导航到事件查看器：开始 > 控制面板 > 管理工具 > 事件查看器。

在操作窗格中，选择创建自定义视图或过滤当前客户视图。

选择事件级别选项下列出的事件严重性（例如，严重、警告、错误、信息等）。

单击事件源下拉菜单并选择您想要查看的事件源，例如：VPN 客户端 - vpnagent、vpnui；DHCP - DHCP 客户端；本机 VPN - RasMan、RasClient、远程访问。

将过滤器保存至自定义视图。

在事件浏览器页面（顶部）中选择日志事件。

中间窗格中的事件属性包含事件的日志详细信息。双击事件除了会弹出事件属性窗格外，还会弹出新的事件属性窗口。

我专门使用了“RasClient”，并在自定义视图中发现了这个错误级别日志：

CoId={53F1C7C6-B011-4453-B2D5-C0F82ED8E590}: 用户 {domain}{username} 拨打了名为 {target VPN connection} 的连接，但失败了。失败时返回的错误代码为 789。

（请注意，我查找日志是因为我的 VPN 出现错误，而不是因为我想查看 OP 问题中的 VPN 历史记录）

Answer

扩展@pbhj的答案，我成功找到以下日志这些说明，总结如下：

通过“开始”菜单导航到事件查看器：开始 > 控制面板 > 管理工具 > 事件查看器。

在操作窗格中，选择创建自定义视图或过滤当前客户视图。

选择事件级别选项下列出的事件严重性（例如，严重、警告、错误、信息等）。

单击事件源下拉菜单并选择您想要查看的事件源，例如：VPN 客户端 - vpnagent、vpnui；DHCP - DHCP 客户端；本机 VPN - RasMan、RasClient、远程访问。

将过滤器保存至自定义视图。

在事件浏览器页面（顶部）中选择日志事件。

中间窗格中的事件属性包含事件的日志详细信息。双击事件除了会弹出事件属性窗格外，还会弹出新的事件属性窗口。

我专门使用了“RasClient”，并在自定义视图中发现了这个错误级别日志：

CoId={53F1C7C6-B011-4453-B2D5-C0F82ED8E590}: 用户 {domain}{username} 拨打了名为 {target VPN connection} 的连接，但失败了。失败时返回的错误代码为 789。

（请注意，我查找日志是因为我的 VPN 出现错误，而不是因为我想查看 OP 问题中的 VPN 历史记录）

Question 3

我找到了以下事件 ID：

连接事件：RasMan 20267
断开连接事件：RasMan 20268
一般详细信息：“RasClient”日志记录

您可以使用多种工具来过滤这些事件。

尝试 FullEventLogView

尝试Nirsoft 的 fulleventlogview.exe。它将显示连接/断开事件。

打开Advanced Options
可选：Show only events from the last...1 天（或您想要的任意天数）
Show only the specified providers (comma-delimited list, wildcard allowed): Ras客户端,RasMan

或者尝试自定义视图

在常规 Windows 事件查看器中执行相同的操作。

将此文本保存为eventvwr.custom-view.RAS.xml：

<ViewerConfig>
    <QueryConfig>
        <QueryParams>
            <Simple>
                <Channel>Application,System</Channel>
                <RelativeTimeInfo>0</RelativeTimeInfo>
                <Source>RasClient,Rasman</Source>
                <BySource>True</BySource>
            </Simple>
        </QueryParams>
        <QueryNode>
            <Name>RAS</Name>
            <QueryList>
                <Query Id="0" Path="Application">
                    <Select Path="Application">*[System[Provider[@Name='RasClient' or @Name='Rasman']]]</Select>
                    <Select Path="System">*[System[Provider[@Name='RasClient' or @Name='Rasman']]]</Select>
                </Query>
            </QueryList>
        </QueryNode>
    </QueryConfig>
</ViewerConfig>

开始 => 运行… => eventvwr.mscEnter
事件查看器（本地）=> 自定义视图 => 右键单击 => 导入自定义视图...

Answer

我找到了以下事件 ID：

连接事件：RasMan 20267
断开连接事件：RasMan 20268
一般详细信息：“RasClient”日志记录

您可以使用多种工具来过滤这些事件。

尝试 FullEventLogView

尝试Nirsoft 的 fulleventlogview.exe。它将显示连接/断开事件。

打开Advanced Options
可选：Show only events from the last...1 天（或您想要的任意天数）
Show only the specified providers (comma-delimited list, wildcard allowed): Ras客户端,RasMan

或者尝试自定义视图

在常规 Windows 事件查看器中执行相同的操作。

将此文本保存为eventvwr.custom-view.RAS.xml：

<ViewerConfig>
    <QueryConfig>
        <QueryParams>
            <Simple>
                <Channel>Application,System</Channel>
                <RelativeTimeInfo>0</RelativeTimeInfo>
                <Source>RasClient,Rasman</Source>
                <BySource>True</BySource>
            </Simple>
        </QueryParams>
        <QueryNode>
            <Name>RAS</Name>
            <QueryList>
                <Query Id="0" Path="Application">
                    <Select Path="Application">*[System[Provider[@Name='RasClient' or @Name='Rasman']]]</Select>
                    <Select Path="System">*[System[Provider[@Name='RasClient' or @Name='Rasman']]]</Select>
                </Query>
            </QueryList>
        </QueryNode>
    </QueryConfig>
</ViewerConfig>

开始 => 运行… => eventvwr.mscEnter
事件查看器（本地）=> 自定义视图 => 右键单击 => 导入自定义视图...

尝试 FullEventLogView

答案1

答案2

答案3

尝试 FullEventLogView

或者尝试自定义视图

相关内容