Existe um arquivo de log para conexões RDP?

31

Eu me conecto ao meu PC de trabalho via VPN / RDP e gostaria de encontrar um arquivo de log no meu PC de trabalho que incluísse algumas informações sobre quando o usei pela última vez, de onde minha conexão se originou e quanto tempo durou. Onde no Windows 7 eu procuraria descobrir isso?

Darius
fonte
Isso não deveria estar em falha no servidor?
Pacerier

Respostas:

39

Se você olhar para o visualizador de eventos como administrador, existem logs do servidor, mas não o login / logout, até onde eu sei.

Por favor, verifique a árvore do Visualizador de Eventos, no lado esquerdo, em "Logs de aplicativos e serviços -> Windows -> TerminalServices- *", onde * está todos os logs existentes. Acho que você está mais interessado no log operacional TerminalService-LocalSessionManager. A identificação de evento 21 fornecerá o endereço IP da conexão de entrada.

Há também um nó "RemoteDesktopServices-RemoteDesktopSessionManager" na árvore do visualizador de eventos no lado esquerdo em "Logs de aplicativos e serviços -> Windows". Somente a função Administrador tem permissão para visualizar o arquivo em que acredito. Confirme e me informe se isso aborda seu caso de uso.

Talvez tente isso também para fazer logon / logout: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true

Jarrod Wageman
fonte
3
Na verdade, o TerminalService-LocalSessionManager Operational ou o TerminalService-RemoteConnectionManager Operational funcionam para mim. Eu posso ver o nome de usuário e o IP DHCP a partir daí. Obrigado.
Darius
3

Procure em 'Logs de aplicativos e serviços'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation',

Esse log terá eventos que contêm o nome do servidor no qual o usuário final tentou conectar o RDP.

Espinho
fonte
e se estiver vazio, você pode ter sorte e ter entradas no TerminalServices-RemoteConnectionManager.
MBX
1

Não sei como verificar a partir de sua máquina de trabalho quando você estabeleceu uma VPN, já que provavelmente não é o servidor VPN (?). No entanto, se você estiver usando a Conexão de Área de Trabalho Remota para controlar esse PC, poderá obter os tempos de logon / logoff no Visualizador de Eventos.

Procure nos logs de segurança por eles. Os logons do RDP são um, Event ID 4624mas apenas a pesquisa do 4624 não funcionará. No evento, você precisa que o valor Tipo de Logon seja "10" e o valor SecurityID seja seu. Não sei como filtrar os ...

Chris_K
fonte
Isso funciona bem, mas o registro que posso obter da resposta de Jarod é mais fácil de digerir.
Darius
Você pode abrir a guia XML na caixa de diálogo Filtro, marque a caixa Editar manualmente e insira <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
mynetx 01/09
0

Encontrei as informações no Visualizador de Eventos em Logs / Segurança do Windows e você verá os eventos de logon e logoff da categoria de tarefa.

Howard Mitchell
fonte
Não tenho muita certeza de onde você estava procurando, mas essa área não fornece as informações que eu estava solicitando.
Darius
1
O RDP também pode se reconectar a uma sessão existente; nesse caso, não haverá um evento de logon.
21414 Ben Voigt
@BenVoigt, O logoff do logon também pode não ser do RDP, certo?
Pacerier
0

No seu caso, você precisa revisar TerminalServices-LocalSessionManagere TerminalServices-RemoteConnectionManagerregistrar no seu computador.

Você também pode verificar uma excelente ferramenta de terceiros chamada SysKit, anteriormente Log de Serviços de Terminal . Ele irá gerar todos os tipos de relatórios a partir de logs e economizará muito tempo se você quiser obter todos os detalhes sobre conexões RDP e outras coisas.

Observe: sou afiliado à Acceleratio, os criadores da ferramenta mencionada acima, portanto posso ser um pouco tendencioso aqui.

MatijaB
fonte
1
o preço do syskit é um pouco
alto
Se você mencionou uma ferramenta que foi aberto bem na sua resposta que eu gostaria que ele ainda mais :)
Darius
0

Use o comando quser para mostrar sessões.

Você verá algo como ID 1 ou 2 ou 4. Em seguida, digite Logoff 4 para fazer logoff da sessão.

Você também pode digitar sessão de consulta ou qwinsta (ambos são a mesma coisa) Show quem está ligado e qual porta está ouvindo etc.

Norcal Helpdesk
fonte