İş bilgisayarıma VPN / RDP üzerinden bağlanıyorum ve çalışma bilgisayarımda en son ne zaman kullandığım, bağlantımın nereden geldiği ve ne kadar sürdüğü hakkında bazı bilgiler içeren bir günlük dosyası bulmak istiyorum. Windows 7'de nerede bulabilirim?
Yanıtlar:
Olay izleyicisine yönetici olarak bakarsanız, bildiğim kadarıyla giriş / çıkış için değil, sunucu günlükleri vardır.
Lütfen soldaki "Uygulama ve Hizmet Günlükleri -> Windows -> TerminalServices- *" altındaki Olay Görüntüleyicisi ağacını kontrol edin; En çok TerminalService-LocalSessionManager Operasyonel günlüğü ile ilgilendiğinizi düşünüyorum. Olay kimliği 21, gelen bağlantının IP adresini sağlayacaktır.
Soldaki olay görüntüleyici ağacında "Uygulamalar ve Hizmet Günlükleri -> Windows" altında bir "RemoteDesktopServices-RemoteDesktopSessionManager" düğümü de vardır. İnanıyorum dosyayı yalnızca Yönetici rolü izleyebilir. Lütfen kullanım çantanıza hitap edip etmediğini bana bildirin.
Belki bunu giriş / çıkış yapmak için de kullanabilirsiniz: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
'Uygulama ve Hizmet Günlükleri'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation' bölümüne bakın.
Bu günlük, son kullanıcının RDP'yi bağlamaya çalıştığı sunucu adını içeren olaylara sahip olacaktır.
Muhtemelen VPN sunucusu (?) Olmadığı için bir VPN kurduğunuzda iş makinenizden nasıl kontrol edebileceğinizi söyleyemem. Eğer bu çalışma PC kontrol etmek Uzak Masaüstü Bağlantısı kullanıyorsanız Ancak, olabilir Olay Görüntüleyicisi gelen tüm giriş / çıkış sürelerini çekmek mümkün.
Bunlar için Güvenlik kayıtlarına bakın. RDP oturumları bir Event ID 4624ama sadece 4624 için arama çalışmaz. Etkinlikte, Oturum Açma Türü değerinin "10" olması ve Güvenlik Kimliği değerinin de sizin olması gerekir. Bunları nasıl filtreleyeceğinden emin değilim ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Bilgileri, Olay Kategorisi oturum açma ve oturum kapatma olayları altında göreceğiniz Windows Günlükleri / Güvenliği altında Olay Görüntüleyicisi'nde buldum.
Sizin durumunuzda, bilgisayarınızdan gözden geçirmeniz TerminalServices-LocalSessionManagerve TerminalServices-RemoteConnectionManagerkayıt tutmanız gerekir .
Eskiden Terminal Hizmetleri Günlüğü olan SysKit adlı mükemmel bir üçüncü taraf aracını da kontrol edebilirsiniz . Günlüklerden gelen her türlü raporu size sunar ve RDP bağlantıları ve diğer şeyler hakkında tüm detayları öğrenmek isterseniz size zaman kazandırır.
Lütfen dikkat: Yukarıda belirtilen aracın yapıcıları olan Acceleratio'ya bağlıyım, bu yüzden burada biraz yanlı olabilirim.
Oturumları göstermek için quser komutunu kullanın .
Sonra ID 1 veya 2 veya 4 gibi bir şey göreceksiniz. Daha sonra oturumu kapatmak için Logoff 4 yazın.
Ayrıca sorgu oturumu veya qwinsta yazabilirsiniz (her ikisi de aynı şeydir) Şovun kim olduğunu ve hangi portu dinlediğini vs.