Gibt es eine Protokolldatei für RDP-Verbindungen?

31

Ich verbinde mich über VPN / RDP mit meinem Arbeits-PC und möchte eine Protokolldatei auf meinem Arbeits-PC finden, die einige Informationen darüber enthält, wann ich sie zuletzt verwendet habe, woher meine Verbindung stammt und wie lange sie bestand. Wo in Windows 7 würde ich suchen, um das herauszufinden?

Darius
quelle
Sollte das nicht ein Serverfehler sein?
Pacerier

Antworten:

39

Wenn Sie die Ereignisanzeige als Administrator betrachten, gibt es Serverprotokolle, aber meines Wissens nicht für die Anmeldung / Abmeldung.

Überprüfen Sie die Ereignisanzeige auf der linken Seite unter "Programme und Dienste - Protokolle -> Windows -> Terminaldienste - *", wobei * alle Protokolle enthält. Ich denke, Sie interessieren sich am meisten für das TerminalService-LocalSessionManager-Betriebsprotokoll. Die Ereignis-ID 21 gibt die IP-Adresse der eingehenden Verbindung an.

Es gibt auch einen Knoten "RemoteDesktopServices-RemoteDesktopSessionManager" in der Ereignisanzeige auf der linken Seite unter "Anwendungs- und Dienstprotokolle -> Windows". Nur die Administratorrolle darf die Datei meiner Meinung nach anzeigen. Bitte bestätigen Sie und teilen Sie mir mit, ob dies Ihren Anwendungsfall betrifft.

Versuchen Sie dies möglicherweise auch, um die Anmeldung / Abmeldung zu protokollieren: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true

Jarrod Wageman
quelle
3
Tatsächlich arbeitet entweder TerminalService-LocalSessionManager Operational oder TerminalService-RemoteConnectionManager Operational für mich. Ich kann den Benutzernamen und die DHCP-IP von dort sehen. Vielen Dank.
Darius
3

Suchen Sie unter "Anwendungs- und Dienstprotokolle"> "Microsoft"> "Windows"> "TerminalServices-ClientActiveXCore"> "Microsoft-Windows-TerminalServices-RDPClient / Operation".

Dieses Protokoll enthält Ereignisse, die den Servernamen enthalten, mit dem der Endbenutzer versucht hat, RDP zu verbinden.

Dorn
quelle
und wenn das leer ist, haben Sie möglicherweise Glück und Einträge in TerminalServices-RemoteConnectionManager.
mbx
1

Ich kann Ihnen nicht sagen, wie Sie von Ihrer Arbeitsmaschine aus überprüfen sollen, wenn Sie ein VPN eingerichtet haben, da es sich vermutlich nicht um den VPN-Server handelt (?). Wenn Sie jedoch Remotedesktopverbindung verwenden, um diesen Arbeits-PC zu steuern, können Sie möglicherweise die Anmelde- / Abmeldezeiten aus der Ereignisanzeige abrufen.

Suchen Sie in den Sicherheitsprotokollen nach diesen. RDP-Anmeldungen sind eine, Event ID 4624aber nur die Suche nach 4624 wird nicht funktionieren. Innerhalb des Ereignisses muss der Anmeldetyp "10" und die Sicherheits-ID "Ihre" sein. Ich bin mir nicht sicher, wie ich diese filtern soll ...

Chris_K
quelle
Dies funktioniert auch, aber das Protokoll, das ich aus Jarods Antwort erhalten kann, ist leichter zu verdauen.
Darius
Sie können die Registerkarte "XML" im Dialogfeld "Filter" öffnen, das Kontrollkästchen "Manuell bearbeiten" aktivieren und eingeben <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
mynetx
0

Ich habe die Informationen in der Ereignisanzeige unter Windows-Protokolle / Sicherheit gefunden, die unter Aufgabenkategorie Anmelde- und Abmeldeereignisse angezeigt werden.

Howard Mitchell
quelle
Ich bin nicht ganz sicher, wo Sie gesucht haben, aber dieser Bereich enthält nicht die Informationen, nach denen ich gefragt habe.
Darius
1
RDP kann auch erneut eine Verbindung zu einer vorhandenen Sitzung herstellen. In diesem Fall wird kein Anmeldeereignis ausgelöst.
Ben Voigt
@BenVoigt, Die Abmeldung bei der Anmeldung könnte auch nicht über RDP erfolgen oder?
Pacerier
0

In Ihrem Fall müssen Sie die Informationen auf Ihrem Computer überprüfen TerminalServices-LocalSessionManagerund TerminalServices-RemoteConnectionManagerprotokollieren.

Sie können auch ein hervorragendes Drittanbieter-Tool namens SysKit, früher Terminal Services Log, überprüfen . Es generiert alle Arten von Berichten aus Protokollen und spart Ihnen eine Menge Zeit, wenn Sie alle Details zu RDP-Verbindungen und anderen Dingen abrufen möchten.

Bitte beachten Sie: Ich bin mit Acceleratio, den Herstellern des oben genannten Tools, verbunden, daher bin ich hier möglicherweise ein bisschen voreingenommen.

MatijaB
quelle
1
Der Syskit-Preis ist ein wenig steil :(
SDJUAN
Wenn Sie in Ihrer Antwort ein Tool erwähnt haben, das ebenfalls Open Source war, würde ich es noch mehr mögen :)
Darius
0

Verwenden Sie den Befehl quser , um Sitzungen anzuzeigen .

Dann sehen Sie so etwas wie ID 1 oder 2 oder 4. Geben Sie dann Abmelden 4 ein, um diese Sitzung abzumelden.

Sie können auch query session oder qwinsta eingeben (beides ist dasselbe).

Norcal Helpdesk
quelle