Tôi kết nối với PC làm việc của mình thông qua VPN / RDP và tôi muốn tìm một tệp nhật ký trên PC làm việc của mình, bao gồm một số thông tin khi tôi sử dụng lần cuối, từ đó kết nối của tôi bắt nguồn và thời gian tồn tại. Tôi sẽ tìm kiếm ở đâu trong Windows 7?
Câu trả lời:
Nếu bạn xem người xem sự kiện với tư cách quản trị viên, có nhật ký máy chủ nhưng không đăng nhập / đăng xuất theo như tôi biết.
Vui lòng kiểm tra cây Trình xem sự kiện ở phía bên trái trong "Nhật ký ứng dụng và dịch vụ -> Windows -> TerminalService- *" trong đó * là tất cả các nhật ký ở đó. Tôi nghĩ rằng bạn quan tâm nhất đến nhật ký hoạt động TerminalService-LocalSessionManager. ID sự kiện 21 sẽ cung cấp địa chỉ IP của kết nối đến.
Ngoài ra còn có nút "RemoteDesktopService-RemoteDesktopSessionManager" trong cây trình xem sự kiện ở phía bên trái trong "Nhật ký ứng dụng và dịch vụ -> Windows". Chỉ vai trò Quản trị viên mới được phép xem tệp tôi tin. Vui lòng xác nhận và cho tôi biết nếu điều này giải quyết trường hợp sử dụng của bạn.
Có thể thử điều này để đăng nhập đăng nhập / đăng xuất: http://www.microsoft.com/resource/documentation/windows/xp/all/proddocs/en-us/aleighnode.mspx?mfr=true
Xem trong 'Nhật ký ứng dụng và dịch vụ'> 'Microsoft'> 'Windows'> 'TerminalService-ClientActiveXCore'> 'Microsoft-Windows-TerminalService-RDPClient / Operation',
Nhật ký này sẽ có các sự kiện chứa tên máy chủ mà người dùng cuối đã cố gắng kết nối RDP.
Tôi không thể cho bạn biết cách kiểm tra từ máy công việc của bạn khi bạn thiết lập VPN vì có lẽ đó không phải là máy chủ VPN (?). Tuy nhiên, nếu bạn đang sử dụng Remote Desktop Connection để điều khiển PC hoạt động đó, bạn có thể kéo thời gian đăng nhập / đăng xuất từ Trình xem sự kiện.
Tìm trong nhật ký bảo mật cho những người. Đăng nhập RDP là một Event ID 4624nhưng chỉ tìm kiếm 4624 sẽ không hoạt động. Trong sự kiện, bạn cần giá trị Loại Đăng nhập là "10" và giá trị SecurityID là của bạn. Không chắc chắn làm thế nào để lọc những ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
Tôi đã tìm thấy thông tin trong Trình xem sự kiện trong Windows Logs / Security mà bạn sẽ thấy trong các sự kiện đăng nhập và đăng xuất danh mục nhiệm vụ.
Trong trường hợp của bạn, bạn cần xem lại TerminalServices-LocalSessionManagervà TerminalServices-RemoteConnectionManagerđăng nhập từ máy tính của bạn.
Bạn cũng có thể kiểm tra một công cụ bên thứ ba tuyệt vời có tên là SysKit, trước đây là Nhật ký dịch vụ đầu cuối . Nó sẽ tạo cho bạn tất cả các loại báo cáo từ nhật ký và sẽ giúp bạn tiết kiệm rất nhiều thời gian nếu bạn muốn nhận được tất cả các chi tiết về kết nối RDP và các nội dung khác.
Xin lưu ý: Tôi liên kết với Acceleratio, nhà sản xuất công cụ được đề cập ở trên, vì vậy tôi có thể hơi thiên vị một chút ở đây.
Sử dụng lệnh quser để hiển thị phiên.
Sau đó, bạn sẽ thấy một cái gì đó như ID 1 hoặc 2 hoặc 4. Sau đó nhập Logoff 4 để đăng xuất phiên đó.
Bạn cũng có thể nhập phiên truy vấn hoặc qwinsta (cả hai đều giống nhau) Hiển thị ai đang nghe và cổng nào đang nghe, v.v.