Я підключаюсь до свого робочого ПК через VPN / RDP, і я хотів би знайти на своєму робочому ПК файл журналу, який би містив інформацію про те, коли я його останнім часом використовував, звідки виникло моє з'єднання та скільки тривало воно. Де в Windows 7 я хотів би це дізнатися?
Відповіді:
Якщо ви дивитесь на переглядача подій як адміністратора, існують журнали сервера, але не для входу / виходу, наскільки я знаю.
Перевірте дерево переглядача подій ліворуч у розділі "Журнали програм та служб -> Windows -> TerminalServices- *", де * є всі журнали. Я думаю, що вас найбільше цікавить операційний журнал TerminalService-LocalSessionManager. Ідентифікатор події 21 надасть IP-адресу вхідного з'єднання.
Також у дереві переглядача подій зліва в розділі "Журнали програм і служб -> Windows" є вузол "RemoteDesktopServices-RemoteDesktopSessionManager". Лише роль адміністратора може переглядати файл, який я вважаю. Будь ласка, підтвердьте і повідомте мене, чи стосується цього Вашого випадку використання.
Можливо, спробуйте це також для реєстрації входу / виходу: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Подивіться у розділі "Журнали програм та служб"> "Microsoft"> "Windows"> "TerminalServices-ClientActiveXCore"> "Microsoft-Windows-TerminalServices-RDPClient / Operation",
Цей журнал матиме події, які містять ім'я сервера, до якого кінцевий користувач намагався підключити RDP.
Я не можу сказати вам, як перевірити свій робочий апарат, коли ви встановили VPN, оскільки, мабуть, це не сервер VPN (?). Однак якщо ви використовуєте підключення до віддаленого робочого столу для управління робочим ПК, можливо, ви зможете витягнути час входу / виходу з програми перегляду подій.
Подивіться в журнали безпеки для тих. Логотип RDP - це, Event ID 4624але лише пошук 4624 не буде працювати. У рамках події вам потрібно, щоб значення типу входу було "10", а значення SecurityID було вашим. Не знаєте, як відфільтрувати ці ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Я знайшов інформацію в засобі перегляду подій у розділі Журнали / безпека Windows, яку ви побачите в категорії завдань входу та виходу з системи.
У вашому випадку вам потрібно переглянути TerminalServices-LocalSessionManagerі TerminalServices-RemoteConnectionManagerжурнали зі свого комп’ютера.
Ви також можете перевірити чудовий інструмент сторонніх розробників під назвою SysKit, раніше журнал служб терміналів . Це дозволить генерувати всі журнали із журналів і заощадить вам багато часу, якщо ви хочете отримати всі деталі про з'єднання RDP та інші речі.
Зверніть увагу: я пов'язаний з Acceleratio, виробниками згаданого вище інструменту, тому я, можливо, тут трохи упереджений.
За допомогою квестера команд показуйте сеанси.
Тоді ви побачите щось на зразок ID 1 або 2 або 4. Потім введіть Logoff 4, щоб вийти з сеансу.
Ви також можете ввести сеанс запиту або qwinsta (обидва - це одне і те ж).