Me conecto a mi PC de trabajo a través de VPN / RDP y me gustaría encontrar un archivo de registro en mi PC de trabajo que incluya información sobre cuándo lo usé por última vez, desde dónde se originó mi conexión y cuánto tiempo duró. ¿En qué lugar de Windows 7 buscaría encontrar eso?
windows-7
remote-desktop
Darius
fuente
fuente
Respuestas:
Si considera que el visor de eventos es el administrador, existen registros del servidor pero, por lo que sé, no son para iniciar sesión / cerrar sesión.
Verifique el árbol del Visor de eventos en el lado izquierdo en "Registros de aplicaciones y servicios -> Windows -> TerminalServices- *" donde * se encuentran todos los registros allí. Creo que está más interesado en el registro operativo TerminalService-LocalSessionManager Operational. El ID de evento 21 proporcionará la dirección IP de la conexión entrante.
También hay un nodo "RemoteDesktopServices-RemoteDesktopSessionManager" en el árbol del visor de eventos en el lado izquierdo debajo de "Registros de aplicaciones y servicios -> Windows". Solo el rol de Administrador puede ver el archivo que creo. Confirme y avíseme si esto aborda su caso de uso.
Quizás intente esto también para iniciar sesión / cerrar sesión: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
fuente
Busque en 'Registros de aplicaciones y servicios'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation',
Este registro tendrá eventos que contienen el nombre del servidor en el que el usuario final intentó conectar RDP.
fuente
No puedo decirte cómo verificar desde tu máquina de trabajo cuando estableciste una VPN, ya que presumiblemente no es el servidor VPN (?). Sin embargo, si está utilizando Remote Desktop Connection para controlar esa PC de trabajo, puede extraer los tiempos de inicio / cierre de sesión desde el Visor de eventos.
Busque en los registros de seguridad para aquellos. Los inicios de sesión RDP son una
Event ID 4624pero solo buscar 4624 no funcionará. En el caso de que necesite que el valor de Tipo de inicio de sesión sea "10" y el valor de SecurityID sea suyo. No estoy seguro de cómo filtrar esos ...fuente
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.Encontré la información en el Visor de eventos en Registros / Seguridad de Windows que verá en los eventos de inicio y cierre de sesión de categoría de tarea.
fuente
En su caso, debe revisar
TerminalServices-LocalSessionManageryTerminalServices-RemoteConnectionManagerregistrar desde su computadora.También puede consultar una excelente herramienta de terceros llamada SysKit, anteriormente Terminal Services Log . Le generará todo tipo de informes a partir de registros y le ahorrará un montón de tiempo si desea obtener todos los detalles sobre las conexiones RDP y otras cosas.
Tenga en cuenta: estoy afiliado a Acceleratio, los creadores de la herramienta mencionada anteriormente, por lo que podría ser un poco parcial aquí.
fuente
Use el comando quser para mostrar sesiones.
Luego verá algo como ID 1 o 2 o 4. Luego, escriba Logoff 4 para cerrar sesión.
También puede escribir query session o qwinsta (ambos son lo mismo) Mostrar quién está activado y qué puerto está escuchando, etc.
fuente