Ich verbinde mich über VPN / RDP mit meinem Arbeits-PC und möchte eine Protokolldatei auf meinem Arbeits-PC finden, die einige Informationen darüber enthält, wann ich sie zuletzt verwendet habe, woher meine Verbindung stammt und wie lange sie bestand. Wo in Windows 7 würde ich suchen, um das herauszufinden?
Antworten:
Wenn Sie die Ereignisanzeige als Administrator betrachten, gibt es Serverprotokolle, aber meines Wissens nicht für die Anmeldung / Abmeldung.
Überprüfen Sie die Ereignisanzeige auf der linken Seite unter "Programme und Dienste - Protokolle -> Windows -> Terminaldienste - *", wobei * alle Protokolle enthält. Ich denke, Sie interessieren sich am meisten für das TerminalService-LocalSessionManager-Betriebsprotokoll. Die Ereignis-ID 21 gibt die IP-Adresse der eingehenden Verbindung an.
Es gibt auch einen Knoten "RemoteDesktopServices-RemoteDesktopSessionManager" in der Ereignisanzeige auf der linken Seite unter "Anwendungs- und Dienstprotokolle -> Windows". Nur die Administratorrolle darf die Datei meiner Meinung nach anzeigen. Bitte bestätigen Sie und teilen Sie mir mit, ob dies Ihren Anwendungsfall betrifft.
Versuchen Sie dies möglicherweise auch, um die Anmeldung / Abmeldung zu protokollieren: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Suchen Sie unter "Anwendungs- und Dienstprotokolle"> "Microsoft"> "Windows"> "TerminalServices-ClientActiveXCore"> "Microsoft-Windows-TerminalServices-RDPClient / Operation".
Dieses Protokoll enthält Ereignisse, die den Servernamen enthalten, mit dem der Endbenutzer versucht hat, RDP zu verbinden.
Ich kann Ihnen nicht sagen, wie Sie von Ihrer Arbeitsmaschine aus überprüfen sollen, wenn Sie ein VPN eingerichtet haben, da es sich vermutlich nicht um den VPN-Server handelt (?). Wenn Sie jedoch Remotedesktopverbindung verwenden, um diesen Arbeits-PC zu steuern, können Sie möglicherweise die Anmelde- / Abmeldezeiten aus der Ereignisanzeige abrufen.
Suchen Sie in den Sicherheitsprotokollen nach diesen. RDP-Anmeldungen sind eine, Event ID 4624aber nur die Suche nach 4624 wird nicht funktionieren. Innerhalb des Ereignisses muss der Anmeldetyp "10" und die Sicherheits-ID "Ihre" sein. Ich bin mir nicht sicher, wie ich diese filtern soll ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Ich habe die Informationen in der Ereignisanzeige unter Windows-Protokolle / Sicherheit gefunden, die unter Aufgabenkategorie Anmelde- und Abmeldeereignisse angezeigt werden.
In Ihrem Fall müssen Sie die Informationen auf Ihrem Computer überprüfen TerminalServices-LocalSessionManagerund TerminalServices-RemoteConnectionManagerprotokollieren.
Sie können auch ein hervorragendes Drittanbieter-Tool namens SysKit, früher Terminal Services Log, überprüfen . Es generiert alle Arten von Berichten aus Protokollen und spart Ihnen eine Menge Zeit, wenn Sie alle Details zu RDP-Verbindungen und anderen Dingen abrufen möchten.
Bitte beachten Sie: Ich bin mit Acceleratio, den Herstellern des oben genannten Tools, verbunden, daher bin ich hier möglicherweise ein bisschen voreingenommen.
Verwenden Sie den Befehl quser , um Sitzungen anzuzeigen .
Dann sehen Sie so etwas wie ID 1 oder 2 oder 4. Geben Sie dann Abmelden 4 ein, um diese Sitzung abzumelden.
Sie können auch query session oder qwinsta eingeben (beides ist dasselbe).