1. AnyViewer >
  2. Artykuły instruktażowe >
  3. Przewodnik: Jak sprawdzić dzienniki połączeń RDP Windows Server

Przewodnik: Jak sprawdzić dzienniki połączeń RDP Windows Server

Ten post głównie przedstawia sposoby sprawdzania dzienników połączeń RDP na serwerze Windows. Jeśli chcesz poznać przychodzące i wychodzące połączenia RDP na swoim serwerze Windows, kontynuuj czytanie!

Tyler

By Tyler / Updated on January 21, 2025

Share this: instagram reddit
Spis treści

Czy istnieje plik dziennika dla połączeń RDP?

Czy przechowywany jest plik dziennika dla połączeń RDP? Oczywiście, można monitorować przychodzące i wychodzące połączenia RDP. Informacje dotyczące tych zdarzeń są zapisywane, gdy użytkownik łączy się z hostem pulpitu zdalnego. Wystarczy wiedzieć, jak je znaleźć.

Jak sprawdzić dzienniki połączeń RDP na serwerze Windows

Poniżej wymieniono trzy sposoby, które pomogą Ci sprawdzić przychodzące i wychodzące dzienniki połączeń do serwera Windows przez protokół RDP. Te sposoby są odpowiednie do analizy dzienników RDP zarówno dla wersji serwerowych (Windows Server 2022/2019/2016/2012 R2), jak i wersji pulpitu (Windows 11, 10, 8.1, 8 i 7).

Część 1. Jak sprawdzić dzienniki przychodzących połączeń RDP na serwerze Windows

Można skorzystać z trzech sposobów, aby sprawdzić dzienniki przychodzących połączeń RDP na serwerze Windows.

Sposób 1. Sprawdź dzienniki przychodzących połączeń RDP za pomocą Podglądu zdarzeń

Pierwszy sposób to sprawdzenie dzienników przychodzących połączeń RDP na serwerze Windows za pomocą Podglądu zdarzeń.

Krok 1. Naciśnij przycisk Win R, aby otworzyć okno Uruchamianie, a następnie wpisz „eventvwr.msc” i naciśnij przycisk OK, aby otworzyć Podgląd zdarzeń.

Uruchom Podgląd zdarzeń

Krok 2. Przejdź tutaj: Aplikacje i usługi > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Operational. Kliknij prawym przyciskiem myszy na Operational i wybierz Filtruj bieżący dziennik.

Filtr identyfikatorów zdarzeń w Podglądzie zdarzeń

Krok 3. Identyfikator zdarzenia dla usługi pulpitu zdalnego to 1149. Wpisz więc 1149, aby przefiltrować dziennik.

Zdarzenie 1149

Krok 4. Otrzymasz listę zdarzeń zawierających historię wszystkich połączeń RDP do tego serwera.

Historia dziennika w Podglądzie zdarzeń

Krok 5. Kliknij jedno z nich, aby zobaczyć szczegóły połączenia RDP, takie jak adres IP, nazwa komputera, czas logowania, itp.

Szczegóły połączenia RDP

Sposób 2. Sprawdź raporty o przychodzących połączeniach RDP w rejestrze

Możesz również sprawdzić raporty o przychodzących połączeniach RDP w rejestrze.

Krok 1. Naciśnij Win R, aby otworzyć okno dialogowe Uruchamianie, następnie wpisz „regedit” i naciśnij OK, aby otworzyć rejestr.

Okno dialogowe Uruchamianie Regedit

Krok 2. Przejdź tutaj: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Terminal Server Client. Rozwiń Klucz Default, który przechowuje historię ostatnich 10 połączeń RDP.

Historia połączeń RDP - Domyślny

Krok 3. Możesz również rozwinąć Klucz Servers, który zawiera listę wszystkich serwerów RDP i nazw użytkowników używanych wcześniej do logowania. Jeśli chcesz wyczyścić historię połączeń RDP, możesz go kliknąć prawym przyciskiem myszy i usunąć.

Historia połączeń RDP - Serwery

Sposób 3. Sprawdź raporty o przychodzących połączeniach RDP za pomocą PowerShell

Poniższy skrypt PowerShell dostarcza inną metodę sprawdzania raportów o połączeniach pulpitu zdalnego w dziennikach zdarzeń serwera Terminal RDS na systemach Windows Server 2012 R2/2016/2019/2022. Wyświetla historię wszystkich połączeń RDP z dzienników zdarzeń dla bieżącego dnia. Tabela wynikowa wyświetla czas połączenia, adres IP klienta, nazwę użytkownika zdalnego i typ logowania.

Krok 1. Kliknij prawym przyciskiem myszy Start, a następnie wybierz Windows PowerShell (administrator).

Windows PowerShell Administrator

Krok 2. Wprowadź następujący skrypt, a zobaczysz dzienniki przychodzących połączeń RDP.

Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match "logon type:\s (10)\s"}| %{

(new-object -Type PSObject -Property @{

TimeGenerated = $_.TimeGenerated

ClientIP = $_.Message -replace "(?smi).*Source Network Address:\s ([^\s] )\s .*","$1"

UserName = $_.Message -replace "(?smi).*\s\sAccount Name:\s ([^\s] )\s .*","$1"

UserDomain = $_.Message -replace "(?smi).*\s\sAccount Domain:\s ([^\s] )\s .*","$1"

LogonType = $_.Message -replace "(?smi).*Logon Type:\s ([^\s] )\s .*","$1"

})

} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `

, @{N="Username";E={"{0}\{1}" -f $_.UserDomain,$_.UserName}} `

, @{N="LogType";E={

switch ($_.LogonType) {

2 {"Logowanie interaktywne - logowanie lokalne"}

3 {"Połączenie sieciowe do folderu udostępnionego"}

4 {"Batch"}

5 {"Usługa"}

7 {"Odblokowanie (po pochodni)"}

8 {"Szyfrowanie w sieci"}

9 {"Nowe poświadczenia (lokalny proces pod przywłaszczeniem istniejącego połączenia)"}

10 {"RDP"}

11 {"Wykonywanie zbuforowane"}

domyślnie {"Nie rozpoznany typ logowania: $($_.LogonType)"}

}

}}

PowerShell List RDP Logs

Część 2. Jak sprawdzić dzienniki wychodzących połączeń RDP na Windows Server

Dzienniki wychodzących połączeń RDP można również przeglądać po stronie klienta. Istnieją dwie opcje.

Sposób 1. Sprawdzanie dzienników wychodzących połączeń RDP za pomocą Podglądu zdarzeń

Następujący dziennik zdarzeń zawiera dzienniki wychodzących połączeń RDP: Logi aplikacji i usług > Microsoft > Windows > TerminalServices-ClientActiveXCore > Microsoft-Windows-TerminalServices-RDPClient > Operational. Na przykład, gdy użytkownik łączy się z zdalnym hostem serwera RDS Windows lub komputerem z systemem Windows 10/11, pojawia się zdarzenie o identyfikatorze 1102.

Outgoing RDP Connection Log

Sposób 2. Sprawdzanie dzienników wychodzących połączeń RDP za pomocą PowerShell

Istnieje skrypt PowerShell, który pomoże wyświetlić historię połączeń klienta RDP na bieżącym komputerze. Skrypt zwraca identyfikatory SID użytkowników, którzy rozpoczęli połączenia RDP na tym komputerze, oraz nazwy DNS/adresy IP hostów pulpitu zdalnego, do których użytkownicy się podłączyli.

$properties = @( @{n="Timestamp";e={$_.TimeCreated}} @{n="Lokalny użytkownik";e={$_.UserID}} @{n="Docelowy host RDP";e={$_.Properties[1].Value}} ) Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-TerminalServices-RDPClient/Operational";ID="1102"} | Select-Object $properties

Outgoing RDP Connection Logs PowerShell

AnyViewer: Sprawdź łatwo historię wychodzących połączeń na Windows

Jeśli używasz darmowego oprogramowania do zdalnego pulpitu AnyViewer, możesz łatwo sprawdzić wychodzące połączenie zdalne, które zostało wykonane z twojego komputera. AnyViewer obsługuje zarówno serwery Windows, jak i systemy operacyjne Windows. Sprawdź szczegółowe kroki poniżej.

Krok 1. Pobierz, zainstaluj i uruchom AnyViewer na swoim komputerze.

Скачать БесплатноPC z systemem Windows i serwery
Безопасный скачивание

Krok 2. Jeśli masz już konto AnyViewer, możesz się zalogować bezpośrednio. Jeśli nie, wypełnij informacje rejestracyjne i kliknij Zarejestruj się, aby utworzyć konto AnyViewer.

Log In AnyViewer

Krok 3. Następnie zobaczysz, że pomyślnie zalogowano się do AnyViewer. Przejdź do zakładki Urządzenie i sprawdź listę Aktualnie podłączonych. Zostaną wyświetlone ostatnie 10 zdalnych połączeń, które zostały wykonane.

Currently Connected

Krok 4. Możesz również wybrać konkretne urządzenie i kliknąć Właściwości. Zobaczysz adres IP komputera, do którego się podłączyłeś, oraz szczegółowy czas połączenia.

Device Properties

Podsumowanie

Ten post głównie przedstawia sposoby sprawdzania logów połączeń serwera Windows w usłudze RDP. Będzie to bardzo pomocne, jeśli chcesz dowiedzieć się o przychodzącym i wychodzącym połączeniu RDP na Twoim serwerze Windows. Jeśli korzystasz z AnyViewer, będzie Ci łatwiej sprawdzić połączenia zdalne, które wykonujesz.