Eu me conecto ao meu PC de trabalho via VPN / RDP e gostaria de encontrar um arquivo de log no meu PC de trabalho que incluísse algumas informações sobre quando o usei pela última vez, de onde minha conexão se originou e quanto tempo durou. Onde no Windows 7 eu procuraria descobrir isso?
Respostas:
Se você olhar para o visualizador de eventos como administrador, existem logs do servidor, mas não o login / logout, até onde eu sei.
Por favor, verifique a árvore do Visualizador de Eventos, no lado esquerdo, em "Logs de aplicativos e serviços -> Windows -> TerminalServices- *", onde * está todos os logs existentes. Acho que você está mais interessado no log operacional TerminalService-LocalSessionManager. A identificação de evento 21 fornecerá o endereço IP da conexão de entrada.
Há também um nó "RemoteDesktopServices-RemoteDesktopSessionManager" na árvore do visualizador de eventos no lado esquerdo em "Logs de aplicativos e serviços -> Windows". Somente a função Administrador tem permissão para visualizar o arquivo em que acredito. Confirme e me informe se isso aborda seu caso de uso.
Talvez tente isso também para fazer logon / logout: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Procure em 'Logs de aplicativos e serviços'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation',
Esse log terá eventos que contêm o nome do servidor no qual o usuário final tentou conectar o RDP.
Não sei como verificar a partir de sua máquina de trabalho quando você estabeleceu uma VPN, já que provavelmente não é o servidor VPN (?). No entanto, se você estiver usando a Conexão de Área de Trabalho Remota para controlar esse PC, poderá obter os tempos de logon / logoff no Visualizador de Eventos.
Procure nos logs de segurança por eles. Os logons do RDP são um, Event ID 4624mas apenas a pesquisa do 4624 não funcionará. No evento, você precisa que o valor Tipo de Logon seja "10" e o valor SecurityID seja seu. Não sei como filtrar os ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Encontrei as informações no Visualizador de Eventos em Logs / Segurança do Windows e você verá os eventos de logon e logoff da categoria de tarefa.
No seu caso, você precisa revisar TerminalServices-LocalSessionManagere TerminalServices-RemoteConnectionManagerregistrar no seu computador.
Você também pode verificar uma excelente ferramenta de terceiros chamada SysKit, anteriormente Log de Serviços de Terminal . Ele irá gerar todos os tipos de relatórios a partir de logs e economizará muito tempo se você quiser obter todos os detalhes sobre conexões RDP e outras coisas.
Observe: sou afiliado à Acceleratio, os criadores da ferramenta mencionada acima, portanto posso ser um pouco tendencioso aqui.
Use o comando quser para mostrar sessões.
Você verá algo como ID 1 ou 2 ou 4. Em seguida, digite Logoff 4 para fazer logoff da sessão.
Você também pode digitar sessão de consulta ou qwinsta (ambos são a mesma coisa) Show quem está ligado e qual porta está ouvindo etc.