Это сообщение в основном представляет способы проверки журналов подключения к серверу Windows по протоколу RDP. Если вы хотите узнать о входящем и исходящем подключении RDP на вашем сервере Windows, продолжайте читать!
Хранится ли файл журнала для соединений по RDP? Конечно, вы можете отслеживать входящие и исходящие соединения по RDP. Информация об этих событиях сохраняется при подключении пользователя к хосту удаленного рабочего стола. Вам просто нужно знать, как их найти.
Вот три способа для проверки журналов входящих и исходящих соединений по RDP на сервере Windows. Эти способы применимы для анализа журналов RDP как для серверных версий Windows 2022/2019/2016/2012 R2, так и для настольных версий (Windows 11, 10, 8.1, 8 и 7).
Есть три способа, которые могут помочь вам проверить журналы входящих соединений по RDP на сервере Windows.
Способ 1. Проверка журналов входящих соединений по RDP с помощью "Просмотра событий"
Первый способ проверить журналы входящих соединений по RDP на сервере Windows - использовать "Просмотр событий".
Шаг 1. Нажмите Win R, чтобы вызвать окно "Выполнить", затем введите "eventvwr.msc" и нажмите ОК, чтобы открыть "Просмотр событий".
Шаг 2. Перейдите сюда: Приложения и службы > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Оперативный. Щелкните правой кнопкой мыши по Оперативный и выберите Фильтрация текущего журнала.
Шаг 3. Идентификатор события для удаленных рабочих столов - 1149. Затем введите 1149, чтобы отфильтровать журнал.
Шаг 4. После этого вы получите список событий с историей всех соединений по RDP с этим сервером.
Шаг 5. Щелкните одно из них, и вы увидите подробности соединения по RDP, включая IP-адрес, имя компьютера, время входа и т. д.
Способ 2. Проверка журналов входящих RDP-соединений через Реестр
Вы также можете проверить журналы входящих RDP-соединений в Реестре.
Шаг 1. Нажмите Win R, чтобы вызвать окно "Выполнить", затем введите "regedit" и нажмите OK, чтобы открыть Реестр.
Шаг 2. Перейдите сюда: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Terminal Server Client. Разверните ключ Default, он содержит историю последних 10-ти RDP-соединений.
Шаг 3. Вы также можете развернуть ключ Servers, в нем содержится список всех RDP-серверов и ранее использованных имен пользователей для входа в систему. Если вы хотите очистить историю RDP-соединений, вы можете щелкнуть правой кнопкой мыши по ключу и удалить его.
Способ 3. Проверка журналов входящих RDP-соединений через PowerShell
Ниже приведен скрипт PowerShell, который предоставляет еще один метод для проверки журналов соединений удаленного рабочего стола на Windows Server 2012 R2/2016/2019/2022. Он отображает историю всех RDP-соединений из журналов событий терминального сервера RDS за текущий день. В полученной таблице отображается время соединения, IP-адрес клиента, удаленное имя пользователя и тип входа в систему.
Шаг 1. Щелкните правой кнопкой мыши по Пуск и выберите Windows PowerShell (администратор).
Шаг 2. Введите следующий скрипт, затем вы увидите журналы входящих RDP-соединений.
|
Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match "logon type:\s (10)\s"}| %{ (new-object -Type PSObject -Property @{ TimeGenerated = $_.TimeGenerated ClientIP = $_.Message -replace "(?smi).*Source Network Address:\s ([^\s] )\s .*","$1" UserName = $_.Message -replace "(?smi).*\s\sAccount Name:\s ([^\s] )\s .*","$1" UserDomain = $_.Message -replace "(?smi).*\s\sAccount Domain:\s ([^\s] )\s .*","$1" LogonType = $_.Message -replace "(?smi).*Logon Type:\s ([^\s] )\s .*","$1" }) } | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP ` , @{N="Username";E={"{0}\{1}" -f $_.UserDomain,$_.UserName}} ` , @{N="LogType";E={ switch ($_.LogonType) { 2 {"Интерактивный - локальный вход"} 3 {"Сетевое соединение с общим ресурсом"} 4 {"Пакетная"} 5 {"Служба"} 7 {"Разблокировка (после заставки)"} 8 {"Сеть в открытом тексте"} 9 {"Новые учетные данные (локальный имперсонационный процесс в рамках существующего соединения)"} 10 {"RDP"} 11 {"Закешированный интерактивный"} default {"Не распознан тип входа: $($_.LogonType)"} } }} |
Журналы исходящих RDP-соединений также можно просмотреть на стороне клиента. Есть два варианта.
Способ 1. Проверка журналов исходящих RDP-соединений через Просмотр событий
Следующий журнал содержит журналы исходящих RDP-соединений: Журналы приложений и служб > Microsoft > Windows > TerminalServices-ClientActiveXCore > Microsoft-Windows-TerminalServices-RDPClient > Операционный. Когда пользователь подключается к удаленному хосту Windows Server RDS или компьютеру Windows 10/11, например, возникает событие с идентификатором 1102.
Способ 2. Проверка журналов исходящих RDP-соединений через PowerShell
Есть сценарий PowerShell, который поможет отображать историю клиентских подключений к RDP на текущем компьютере. Сценарий возвращает SID пользователей, которые инициировали подключения RDP на этом компьютере, а также DNS-имена/IP-адреса удаленных рабочих столов, к которым подключились пользователи.
| $properties = @( @{n="Время";e={$_.TimeCreated}} @{n="Локальный пользователь";e={$_.UserID}} @{n="Целевой хост RDP";e={$_.Properties[1].Value}} ) Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-TerminalServices-RDPClient/Operational";ID="1102"} | Select-Object $properties |
Если вы используете бесплатное программное обеспечение для удаленного рабочего стола AnyViewer, вам легко будет проверить исходящие удаленные подключения, которые вы выполнили с вашего компьютера. AnyViewer поддерживает как серверы Windows, так и операционные системы Windows. Ознакомьтесь со следующими подробными шагами.
Шаг 1. Загрузите, установите и запустите AnyViewer на вашем компьютере.
Шаг 2. Если у вас уже есть учетная запись AnyViewer, вы можете войти напрямую. Если нет, заполните информацию для регистрации и нажмите Зарегистрироваться, чтобы создать учетную запись AnyViewer.
Шаг 3. Затем вы можете увидеть, что вы успешно вошли в AnyViewer. Перейдите на вкладку Устройство, проверьте список Текущие подключения. Здесь перечислены последние 10 удаленных подключений, которые вы выполнили.
Шаг 4. Вы также можете выбрать конкретное устройство и нажать Свойства. Вы увидите IP-адрес подключенного компьютера и конкретное время подключения.
Этот пост в основном представляет способы проверки журналов подключения RDP к серверу Windows. Это будет очень полезно, если вы хотите знать входящее и исходящее RDP-подключение на вашем сервере Windows. Если вы используете AnyViewer, вам будет проще проверить удаленное подключение, которое вы осуществили.
