Existe-t-il un fichier journal pour les connexions RDP?
Je me connecte à mon PC de travail via VPN/RDP et je voudrais trouver sur mon PC de travail un fichier journal contenant des informations sur la date de mon dernier usage, l'origine de ma connexion et sa durée. Où chercherais-je dans Windows 7?
Si vous considérez l'observateur d'événements en tant qu'administrateur, il existe des journaux du serveur, mais pas pour vous identifier/déconnecter pour autant que je sache.
Veuillez vérifier l’arborescence de l’Observateur d’événements à gauche sous "Journaux des applications et des services -> Windows -> TerminalServices- *", où * contient tous les journaux. Je pense que vous êtes plus intéressé par le journal opérationnel TerminalService-LocalSessionManager. L'ID d'événement 21 fournira l'adresse IP de la connexion entrante.
Il existe également un nœud "RemoteDesktopServices-RemoteDesktopSessionManager" dans l'arborescence de l'observateur d'événements sur le côté gauche sous "Journaux des applications et des services -> Windows". Seul le rôle Administrateur est autorisé à afficher le fichier, je crois. S'il vous plaît confirmer et laissez-moi savoir si cela adresse votre cas d'utilisation.
Essayez peut-être aussi pour vous connecter/déconnecter: http://www.Microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Recherchez sous "Journaux des applications et des services"> "Microsoft"> "Windows"> "TerminalServices-ClientActiveXCore"> "Microsoft-Windows-TerminalServices-RDPClient/Operation",
Ce journal contiendra des événements contenant le nom du serveur auquel l'utilisateur final a tenté de se connecter à RDP.
Je ne peux pas vous dire comment vérifier votre machine de travail lorsque vous avez établi un VPN, car ce n'est probablement pas le serveur VPN (?). Cependant, si vous utilisez Remote Desktop Connection pour contrôler ce PC de travail, vous pouvez être en mesure d'extraire les heures de connexion/déconnexion de l'observateur d'événements.
Recherchez ces informations dans les journaux de sécurité. Les connexions RDP sont un Event ID 4624 mais la recherche de 4624 ne fonctionnera pas. Dans le cas où vous auriez besoin que la valeur du type de connexion soit "10" et que la valeur SecurityID soit la vôtre. Vous ne savez pas comment filtrer ces ...
J'ai trouvé les informations dans l'Observateur d'événements sous Journaux Windows/Sécurité que vous verrez dans la catégorie de tâche, événements de connexion et de déconnexion.
Dans votre cas, vous devez consulter les journaux TerminalServices-LocalSessionManager et TerminalServices-RemoteConnectionManager à partir de votre ordinateur.
Vous pouvez également consulter un excellent outil tiers appelé SysKit, anciennement Journal Services Terminal . Il générera toutes sortes de rapports à partir de journaux et vous fera gagner beaucoup de temps si vous souhaitez obtenir tous les détails sur les connexions RDP et autres.
Remarque: je suis affilié à Acceleratio, le fabricant de l'outil mentionné ci-dessus, donc je suis peut-être un peu biaisé ici.
Utilisez la commande quser pour afficher les sessions.
Ensuite, vous verrez quelque chose comme l'ID 1, 2 ou 4. Ensuite, tapez Logoff 4 pour vous déconnecter de cette session.
Vous pouvez également taper session de requête ou qwinsta (les deux sont la même chose) Montre qui est sur et quel port écoute, etc.