Я подключаюсь к своему рабочему ПК через VPN/RDP и хочу найти файл журнала на рабочем ПК, в котором будет содержаться некоторая информация о том, когда я использовал его в последний раз, откуда возникло мое соединение и как долго оно продолжалось. Где в Windows 7 я мог бы это найти?
Если вы посмотрите на программу просмотра событий как на администратора, то, насколько я знаю, есть журналы сервера, но не для входа/выхода из системы.
Пожалуйста, проверьте дерево Event Viewer слева в разделе “Журналы приложений и служб -> Windows -> TerminalServices-*”, где * - это все журналы. Думаю, вас больше всего заинтересовал операционный журнал TerminalService-LocalSessionManager. ID события 21 предоставит IP-адрес входящего соединения.
В дереве просмотра событий слева в разделе “Журналы приложений и служб -> Windows” также есть узел “RemoteDesktopServices-RemoteDesktopSessionManager”. Для просмотра файла разрешена только роль администратора. Пожалуйста, подтвердите и сообщите мне, если это адрес вашего случая использования.
Может быть, попробуйте это также для входа/выхода из системы http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true .
Посмотрите в разделе ‘Журналы приложений и служб’ > ‘Microsoft’ > ‘Windows’ > ‘TerminalServices-ClientActiveXCore’ > ‘Microsoft-Windows-TerminalServices-RDPClient/Operation’ ,
Этот журнал будет содержать события, которые содержат имя сервера, к которому конечный пользователь пытался подключить RDP.
Я не могу сказать вам, как проверить с вашей рабочей машины, когда вы создали VPN, так как предположительно это не VPN сервер (?). Однако, если вы используете Remote Desktop Connection для управления этим рабочим компьютером, вы may сможете вытащить время входа/выхода из Event Viewer.
Посмотрите на них в журналах безопасности. Вход RDP - это Event ID 4624, но просто поиск 4624 не сработает. Внутри события вам нужно, чтобы значение типа входа было “10”, а значение SecurityID было вашим. Не знаю, как их отфильтровать…
В вашем случае, вам необходимо просмотреть журналы TerminalServices-LocalSessionManager и TerminalServices-RemoteConnectionManager с вашего компьютера.
Вы также можете проверить отличный сторонний инструмент под названием SysKit, ранее журнал служб терминала . Он сгенерирует вам все виды отчетов из журналов и сэкономит вам кучу времени, если вы захотите получить все подробности о RDP соединениях и прочем.
Обратите внимание: я связан с Acceleratio, создателем упомянутого выше инструмента, так что здесь я могу быть немного предвзятым.
Я нашел информацию в Event Viewer под Windows Logs/Security, которую вы увидите в разделе событий входа в систему и выхода из нее.
Используйте команду quser для показа сеансов.
Тогда вы увидите что-то вроде ID 1 или 2 или 4. Затем введите Logoff 4, чтобы выйти из этой сессии.
Вы также можете напечатать query session или qwinsta (оба - одно и то же) Show’s who’s on и какой порт прослушивает и т.д.