是否有 Windows 日志(文件、注册表、事件日志)我可以在哪里找到有关传出 RDP 连接的信息?
我正在寻找如下信息:
- 目标主机 (ip/主机名)
- 连接时间
- 会话时长
- 连接成功了吗?
- 怎么关闭的?
重要的:这是相反的是否有 RDP 连接的日志文件?这是关于传入联系。
例子:
10:00 failed login to server X (authorization error)
10:01 successful login to server X (01:12:00)
12:31 successful login to server Y (00:05:41)
15:11 successful login to workstation iii.iii.ii.ii (00:10:10)
答案1
传出连接存储在“Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx”中
正如 OP 所建议的那样,传入的连接存储在不同的日志文件中。
答案2
您还可以检查 Windows 事件日志:安全 EventID 4648,它记录了使用显式凭据的登录。如果有人使用 rdp 从主机登录到远程计算机,它将生成 EventId 4648,其中 TargetComputerName 是远程主机。