Je me connecte à mon PC de travail via VPN / RDP et je voudrais trouver un fichier journal sur mon PC de travail qui contiendrait des informations sur la date de ma dernière utilisation, l'origine de ma connexion et sa durée. Où dans Windows 7 devrais-je chercher pour le savoir?
Réponses:
Si vous regardez l'observateur d'événements en tant qu'administrateur, il existe des journaux de serveur, mais pas pour la connexion / déconnexion pour autant que je sache.
Veuillez vérifier l'arborescence de l'Observateur d'événements sur le côté gauche sous "Journaux des applications et des services -> Windows -> TerminalServices- *" où * représente tous les journaux. Je pense que vous êtes le plus intéressé par le journal opérationnel de TerminalService-LocalSessionManager. L'ID d'événement 21 fournira l'adresse IP de la connexion entrante.
Il y a également un nœud "RemoteDesktopServices-RemoteDesktopSessionManager" dans l'arborescence de l'Observateur d'événements sur le côté gauche sous "Journaux des applications et des services -> Windows". Seul le rôle Administrateur est autorisé à afficher le fichier, je crois. Veuillez confirmer et me faire savoir si cela répond à votre cas d'utilisation.
Essayez peut-être cela également pour la connexion / déconnexion: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Regardez sous 'Journaux des applications et des services'> 'Microsoft'> 'Windows'> 'TerminalServices-ClientActiveXCore'> 'Microsoft-Windows-TerminalServices-RDPClient / Operation',
Ce journal contiendra des événements qui contiennent le nom du serveur auquel l'utilisateur final a tenté de connecter RDP.
Je ne peux pas vous dire comment vérifier à partir de votre machine de travail lorsque vous avez établi un VPN car ce n'est probablement pas le serveur VPN (?). Cependant, si vous utilisez la connexion Bureau à distance pour contrôler ce PC de travail, vous pourrez peut- être extraire les heures d'ouverture / fermeture de session de l'Observateur d'événements.
Regardez dans les journaux de sécurité pour ceux-ci. Les connexions RDP sont un Event ID 4624mais la recherche de 4624 ne fonctionnera pas. Dans le cas où vous auriez besoin que la valeur Type d'ouverture de session soit "10" et la valeur SecurityID soit la vôtre. Je ne sais pas comment filtrer ces ...
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LogonType'] and Data=10]]</Select> </Query> </QueryList>.
J'ai trouvé les informations dans l'Observateur d'événements sous Windows Logs / Security que vous verrez sous la catégorie des tâches d'ouverture et de fermeture de session.
Dans votre cas, vous devez consulter TerminalServices-LocalSessionManageret TerminalServices-RemoteConnectionManagerenregistrer à partir de votre ordinateur.
Vous pouvez également consulter un excellent outil tiers appelé SysKit, anciennement Terminal Services Log . Il vous générera toutes sortes de rapports à partir des journaux et vous fera gagner beaucoup de temps si vous souhaitez obtenir tous les détails sur les connexions RDP et d'autres choses.
Veuillez noter: je suis affilié à Acceleratio, les fabricants de l'outil mentionné ci-dessus, donc je pourrais être un peu biaisé ici.
Utilisez la commande quser pour afficher les sessions.
Ensuite, vous verrez quelque chose comme ID 1 ou 2 ou 4. Ensuite, tapez Logoff 4 pour vous déconnecter de cette session.
Vous pouvez également taper la session de requête ou qwinsta (les deux sont la même chose) Montrer qui est sur et quel port écoute etc.