Tutorial: Cómo verificar los registros de conexión del servidor de Windows RDP
Esta publicación principalmente presenta las formas de verificar los registros de conexión del servidor de Windows RDP. ¡Si quieres saber las conexiones RDP entrantes y salientes en tu servidor de Windows, sigue leyendo!
Por Tyler Actualizado en 21/01/2025
¿Existe un archivo de registro para las conexiones RDP?
¿Se guarda un archivo de registro para las conexiones RDP? Por supuesto, puedes monitorear las conexiones RDP entrantes y salientes. La información sobre estos eventos se guarda cuando un usuario se conecta a un host de Escritorio Remoto. Solo necesitas saber cómo encontrarlos.
Cómo verificar los registros de conexión de RDP en Windows Server
Aquí se enumeran tres formas de ayudarte a verificar los registros de conexión RDP entrantes y salientes en Windows Server. Estas formas son aplicables al analizar los registros de RDP tanto para Windows Server 2022/2019/2016/2012 R2 como para las ediciones de escritorio (Windows 11, 10, 8.1, 8 y 7).
Parte 1. Cómo verificar los registros de conexión RDP entrantes en Windows Server
Existen tres formas de ayudarte a verificar los registros de conexión RDP entrantes en Windows Server.
Forma 1. Verificar los registros de conexión RDP entrantes a través del Visor de eventos
La primera forma de verificar los registros de conexión RDP entrantes en Windows Server es utilizando el Visor de eventos.
Paso 1. Presiona Win R para invocar el cuadro de diálogo Ejecutar, luego escribe "eventvwr.msc" y presiona Aceptar para abrir el Visor de eventos.
Paso 2. Navega aquí: Registros de aplicaciones y servicios > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Operativo. Haz clic derecho en Operativo y elige Filtrar registro actual.
Paso 3. El ID de evento de los Servicios de Escritorio remoto es 1149. Luego, introduce 1149 para filtrar el registro.
Paso 4. Luego obtendrás una lista de eventos con el historial de todas las conexiones RDP a este servidor.
Paso 5. Haz clic en uno de ellos y podrás ver los detalles de la conexión RDP, incluyendo la dirección IP, el nombre del equipo, la hora de inicio de sesión, etc.
Forma 2. Verificar los registros de las conexiones RDP entrantes a través del Registro
También puedes verificar los registros de las conexiones RDP entrantes en el Registro.
Paso 1. Presiona Win R para invocar el cuadro de diálogo Ejecutar, luego escribe “regedit” y presiona OK para abrir el Registro.
Paso 2. Navega aquí: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Terminal Server Client. Amplía la clave Default, que contiene el historial de las últimas 10 conexiones RDP.
Paso 3. También puedes ampliar la clave Servers, que contiene la lista de todos los servidores RDP y nombres de usuario utilizados anteriormente para iniciar sesión. Si deseas borrar el historial de conexiones RDP, puedes hacer clic derecho en ella y eliminarla.
Forma 3. Verificar los registros de las conexiones RDP entrantes a través de PowerShell
El siguiente script de PowerShell proporciona otro método para inspeccionar los registros de conexión de Escritorio Remoto en Windows Server 2012 R2/2016/2019/2022. Muestra el historial de todas las conexiones RDP desde los registros de eventos del servidor RDS de terminal para el día actual. La tabla resultante muestra la hora de conexión, la dirección IP del cliente, el nombre de usuario remoto y el tipo de inicio de sesión.
Paso 1. Haz clic derecho en Iniciar y luego elige Windows PowerShell (Admin).
Paso 2. Ingresa el siguiente script y verás los registros de las conexiones RDP entrantes.
|
Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match "logon type:\s (10)\s"}| %{ (new-object -Type PSObject -Property @{ TimeGenerated = $_.TimeGenerated ClientIP = $_.Message -replace "(?smi).*Source Network Address:\s ([^\s] )\s .*","$1" UserName = $_.Message -replace "(?smi).*\s\sAccount Name:\s ([^\s] )\s .*","$1" UserDomain = $_.Message -replace "(?smi).*\s\sAccount Domain:\s ([^\s] )\s .*","$1" LogonType = $_.Message -replace "(?smi).*Logon Type:\s ([^\s] )\s .*","$1" }) } | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP ` , @{N="Username";E={"{0}\{1}" -f $_.UserDomain,$_.UserName}} ` , @{N="LogType";E={ switch ($_.LogonType) { 2 {"Interactivo - inicio de sesión local"} 3 {"Conexión de red a carpeta compartida)"} 4 {"Lote"} 5 {"Servicio"} 7 {"Desbloquear (después de protector de pantalla)"} 8 {"Texto en claro de red"} 9 {"Nuevas credenciales (proceso de suplantación local bajo una conexión existente)"} 10 {"RDP"} 11 {"Interactivo en caché"} default {"Tipo de registro no reconocido: $($_.TipoInicio)"} } }} |
Parte 2. Cómo verificar los registros de conexiones salientes RDP en Windows Server
Los registros de conexiones salientes RDP también se pueden ver desde el lado del cliente. Hay dos opciones.
Forma 1. Verificar los registros de conexiones salientes RDP a través del Visor de Eventos
El siguiente registro de eventos contiene los registros de conexiones salientes RDP: Registros de Aplicaciones y Servicios > Microsoft > Windows > TerminalServices-ClientActiveXCore > Microsoft-Windows-TerminalServices-RDPClient > Operativo. Cuando un usuario se conecta a un host remoto de Windows Server RDS o una computadora con Windows 10/11, se produce, por ejemplo, el Evento ID 1102.
Forma 2. Verificar los registros de conexiones salientes RDP a través de PowerShell
Hay un script de PowerShell que ayudará a mostrar el historial de conexiones de clientes de RDP en la computadora actual. El script devuelve los SID de los usuarios que iniciaron conexiones de RDP en esta computadora, así como los nombres DNS/direcciones IP de los hosts de Remote Desktop a los que los usuarios se conectaron.
| $properties = @( @{n="TimeStamp";e={$_.TimeCreated}} @{n="Usuario Local";e={$_.UserID}} @{n="Host RDP objetivo";e={$_.Properties[1].Value}} ) Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-TerminalServices-RDPClient/Operational";ID="1102"} | Select-Object $properties |
AnyViewer: Verificar los registros de conexiones salientes en Windows fácilmente
Si usas el software de escritorio remoto gratuito AnyViewer, te resultará fácil verificar las conexiones remotas salientes que has realizado desde tu computadora. AnyViewer es compatible tanto con servidores Windows como con sistemas operativos Windows. Echa un vistazo a los pasos detallados a continuación.
Paso 1. Descarga, instala y ejecuta AnyViewer en tu computadora.
Paso 2. Si ya tienes una cuenta de AnyViewer, puedes iniciar sesión directamente. Si no, completa la información de registro y haz clic en Registrarse para crear una cuenta de AnyViewer.
Paso 3. Luego podrás ver que has iniciado sesión correctamente en AnyViewer. Ve a la pestaña Dispositivo, verifica la lista de Actualmente conectado. Aquí se enumeran las últimas 10 conexiones remotas que has realizado.
Paso 4. También puedes elegir el dispositivo específico y hacer clic en Propiedades. Podrás ver la dirección IP de la computadora a la que te conectaste y la hora de conexión específica.
Conclusion
Esta publicación principalmente presenta las formas de verificar los registros de conexión del Servidor RDP de Windows. Será de gran ayuda si desea conocer las conexiones RDP entrantes y salientes en su Servidor Windows. Si utiliza AnyViewer, será más fácil para usted verificar la conexión remota que ha realizado.
