Mi collego al mio PC di lavoro tramite VPN / RDP e vorrei trovare un file di registro sul mio PC di lavoro che includesse alcune informazioni su quando l'ho usato l'ultima volta, da dove ha avuto origine la mia connessione e per quanto tempo è durato. Dove dovrei cercare Windows 7 per scoprirlo?
Risposte:
Se guardi il Visualizzatore eventi come amministratore, ci sono registri del server ma non per l'accesso / disconnessione, per quanto ne so.
Controllare l'albero del Visualizzatore eventi sul lato sinistro in "Registri applicazioni e servizi -> Windows -> TerminalServices- *" dove * sono tutti i registri lì. Penso che tu sia più interessato al registro operativo TerminalService-LocalSessionManager. L'ID evento 21 fornirà l'indirizzo IP della connessione in entrata.
Esiste anche un nodo "RemoteDesktopServices-RemoteDesktopSessionManager" nella struttura del visualizzatore eventi sul lato sinistro in "Registri applicazioni e servizi -> Windows". Solo il ruolo di amministratore è autorizzato a visualizzare il file che credo. Conferma e fammi sapere se questo risolve il tuo caso d'uso.
Forse prova questo anche per la registrazione di login / logout: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Cerca in "Registri applicazioni e servizi"> "Microsoft"> "Windows"> "TerminalServices-ClientActiveXCore"> "Microsoft-Windows-TerminalServices-RDPClient / Operation",
Questo registro conterrà eventi che contengono il nome del server a cui l'utente finale ha tentato di connettere RDP.
Non posso dirti come controllare dalla tua macchina di lavoro quando hai creato una VPN in quanto presumibilmente non è il server VPN (?). Tuttavia, se si utilizza Connessione desktop remoto per controllare quel PC di lavoro, è possibile estrarre i tempi di accesso / disconnessione dal Visualizzatore eventi.
Cerca nei log di sicurezza quelli. Gli accessi RDP sono Event ID 4624ma solo la ricerca di 4624 non funzionerà. Nell'evento è necessario che il valore Tipo di accesso sia "10" e che il valore SecurityID sia tuo. Non sono sicuro di come filtrare quelli ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Ho trovato le informazioni nel Visualizzatore eventi in Registri / Sicurezza di Windows che vedrai nella categoria attività eventi di accesso e disconnessione.
Nel tuo caso, devi rivedere TerminalServices-LocalSessionManagere TerminalServices-RemoteConnectionManageraccedere dal tuo computer.
Puoi anche controllare un eccellente strumento di terze parti chiamato SysKit, precedentemente Log dei Servizi terminal . Ti genererà tutti i tipi di rapporti dai registri e ti farà risparmiare un sacco di tempo se vuoi ottenere tutti i dettagli sulle connessioni RDP e altre cose.
Nota: sono affiliato con Acceleratio, i creatori dello strumento sopra menzionato, quindi potrei essere un po 'di parte qui.
Utilizzare il comando quser per mostrare le sessioni.
Quindi vedrai qualcosa come ID 1 o 2 o 4. Quindi digitare Disconnetti 4 per disconnettersi da quella sessione.
Puoi anche digitare query session o qwinsta (entrambi sono la stessa cosa) Show di chi è attivo e di quale porta è in ascolto, ecc.