有没有办法获取远程访问 windows2008 r2 服务器的所有用户的日志
我们需要知道他们的机器IP从什么时候到什么时候访问过服务器?
答案1
这些事件记录在安全事件日志中。事件 ID 为 4846。注销事件 ID 为 4634。您可以通过两个事件上的 LogonGUID 属性将登录事件与注销事件关联起来。
Windows 没有提供生成这些列表的方法,您必须编写一些东西或购买一些东西来完成它。wevtutil
提供了一种查询事件日志并将其转储到文本文件以便用脚本进行处理的方法。
答案2
有几种方法:1.使用免费软件 http://technet.microsoft.com/en-us/magazine/2005.05.utilityspotlight.aspx 还跟踪 Active Directory 域中的所有登录信息
2.使用付费监控软件:terminalserviceslog.com
3.使用登录脚本您可以向登录和注销脚本添加一些行,以便将一些内容写入服务器共享日志文件。
@echo off echo [%date% %time%] >>\server\share\logtime.log echo %username% 登录 %computername% 到域:%userdomain% >>\server\share\logon.log