我有几个运行 Windows 2003 和 2008 服务器的服务器(如果有什么区别的话,是虚拟机),并且多个用户可能在任何给定时间登录到其中任何一台服务器。是否可以以某种方式将用户登录/注销事件写入 Windows 2003 和 2008 服务器中的日志文件,以便我可以跟踪它?
谢谢。
编辑-我还想知道连接来自哪里(如 ip/主机名)
答案1
它们已经(或应该)记录到安全日志中。
事件 ID 528 和 540 表示用户登录,类型 10 表示终端服务器/远程桌面会话。
事件 551 表示注销,而事件 4779 表示断开连接,而不是正确注销。
(所有安全日志事件。)
坦白地说,解析这些事件的事件日志可能是一件非常麻烦的事情,但至少在 2008 下,改进的日志查看器可以更轻松地过滤 EventLog 以仅显示您想要的事件。不过(假设您有 2003 服务器),编写 Powershell 脚本来解析这些值可能值得您花时间……或者购买高质量的日志分析/聚合软件。
下面是您在 2003 年看到的日志对话框的示例,但您可能希望在某处解析并提取相关信息以文本格式(使用 PowerShell [相对] 容易)。
