1. AnyViewer >
  2. Статьи по теме >
  3. Урок: Как проверить журналы подключения к серверу Windows по протоколу RDP

Урок: Как проверить журналы подключения к серверу Windows по протоколу RDP

Это сообщение в основном представляет способы проверки журналов подключения к серверу Windows по протоколу RDP. Если вы хотите узнать о входящем и исходящем подключении RDP на вашем сервере Windows, продолжайте читать!

Tyler

By Tyler / Updated on January 21, 2025

Поделитесь этим: instagram reddit
Содержание

Существует ли файл журнала для соединений по RDP?

Хранится ли файл журнала для соединений по RDP? Конечно, вы можете отслеживать входящие и исходящие соединения по RDP. Информация об этих событиях сохраняется при подключении пользователя к хосту удаленного рабочего стола. Вам просто нужно знать, как их найти.

Как проверить журналы соединений по RDP на сервере Windows

Вот три способа для проверки журналов входящих и исходящих соединений по RDP на сервере Windows. Эти способы применимы для анализа журналов RDP как для серверных версий Windows 2022/2019/2016/2012 R2, так и для настольных версий (Windows 11, 10, 8.1, 8 и 7).

Часть 1. Как проверить журналы входящих соединений по RDP на сервере Windows

Есть три способа, которые могут помочь вам проверить журналы входящих соединений по RDP на сервере Windows.

Способ 1. Проверка журналов входящих соединений по RDP с помощью "Просмотра событий"

Первый способ проверить журналы входящих соединений по RDP на сервере Windows - использовать "Просмотр событий".

Шаг 1. Нажмите Win R, чтобы вызвать окно "Выполнить", затем введите "eventvwr.msc" и нажмите ОК, чтобы открыть "Просмотр событий".

Выполнить Просмотр событий

Шаг 2. Перейдите сюда: Приложения и службы > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Оперативный. Щелкните правой кнопкой мыши по Оперативный и выберите Фильтрация текущего журнала.

Фильтр событий Просмотр событий

Шаг 3. Идентификатор события для удаленных рабочих столов - 1149. Затем введите 1149, чтобы отфильтровать журнал.

Событие 1149

Шаг 4. После этого вы получите список событий с историей всех соединений по RDP с этим сервером.

История журнала Просмотр событий

Шаг 5. Щелкните одно из них, и вы увидите подробности соединения по RDP, включая IP-адрес, имя компьютера, время входа и т. д.

Детали соединения RDP

Способ 2. Проверка журналов входящих RDP-соединений через Реестр

Вы также можете проверить журналы входящих RDP-соединений в Реестре.

Шаг 1. Нажмите Win R, чтобы вызвать окно "Выполнить", затем введите "regedit" и нажмите OK, чтобы открыть Реестр.

Окно

Шаг 2. Перейдите сюда: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Terminal Server Client. Разверните ключ Default, он содержит историю последних 10-ти RDP-соединений.

История RDP-соединений - Default

Шаг 3. Вы также можете развернуть ключ Servers, в нем содержится список всех RDP-серверов и ранее использованных имен пользователей для входа в систему. Если вы хотите очистить историю RDP-соединений, вы можете щелкнуть правой кнопкой мыши по ключу и удалить его.

История RDP-соединений - Servers

Способ 3. Проверка журналов входящих RDP-соединений через PowerShell

Ниже приведен скрипт PowerShell, который предоставляет еще один метод для проверки журналов соединений удаленного рабочего стола на Windows Server 2012 R2/2016/2019/2022. Он отображает историю всех RDP-соединений из журналов событий терминального сервера RDS за текущий день. В полученной таблице отображается время соединения, IP-адрес клиента, удаленное имя пользователя и тип входа в систему.

Шаг 1. Щелкните правой кнопкой мыши по Пуск и выберите Windows PowerShell (администратор).

Windows PowerShell - Администратор

Шаг 2. Введите следующий скрипт, затем вы увидите журналы входящих RDP-соединений.

Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match "logon type:\s (10)\s"}| %{

(new-object -Type PSObject -Property @{

TimeGenerated = $_.TimeGenerated

ClientIP = $_.Message -replace "(?smi).*Source Network Address:\s ([^\s] )\s .*","$1"

UserName = $_.Message -replace "(?smi).*\s\sAccount Name:\s ([^\s] )\s .*","$1"

UserDomain = $_.Message -replace "(?smi).*\s\sAccount Domain:\s ([^\s] )\s .*","$1"

LogonType = $_.Message -replace "(?smi).*Logon Type:\s ([^\s] )\s .*","$1"

})

} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `

, @{N="Username";E={"{0}\{1}" -f $_.UserDomain,$_.UserName}} `

, @{N="LogType";E={

switch ($_.LogonType) {

2 {"Интерактивный - локальный вход"}

3 {"Сетевое соединение с общим ресурсом"}

4 {"Пакетная"}

5 {"Служба"}

7 {"Разблокировка (после заставки)"}

8 {"Сеть в открытом тексте"}

9 {"Новые учетные данные (локальный имперсонационный процесс в рамках существующего соединения)"}

10 {"RDP"}

11 {"Закешированный интерактивный"}

default {"Не распознан тип входа: $($_.LogonType)"}

}

}}

PowerShell List RDP Logs

Часть 2. Как проверить журналы исходящих RDP-соединений в Windows Server

Журналы исходящих RDP-соединений также можно просмотреть на стороне клиента. Есть два варианта.

Способ 1. Проверка журналов исходящих RDP-соединений через Просмотр событий

Следующий журнал содержит журналы исходящих RDP-соединений: Журналы приложений и служб > Microsoft > Windows > TerminalServices-ClientActiveXCore > Microsoft-Windows-TerminalServices-RDPClient > Операционный. Когда пользователь подключается к удаленному хосту Windows Server RDS или компьютеру Windows 10/11, например, возникает событие с идентификатором 1102.

Outgoing RDP Connection Log

Способ 2. Проверка журналов исходящих RDP-соединений через PowerShell

Есть сценарий PowerShell, который поможет отображать историю клиентских подключений к RDP на текущем компьютере. Сценарий возвращает SID пользователей, которые инициировали подключения RDP на этом компьютере, а также DNS-имена/IP-адреса удаленных рабочих столов, к которым подключились пользователи.

$properties = @( @{n="Время";e={$_.TimeCreated}} @{n="Локальный пользователь";e={$_.UserID}} @{n="Целевой хост RDP";e={$_.Properties[1].Value}} ) Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-TerminalServices-RDPClient/Operational";ID="1102"} | Select-Object $properties

Входящие журналы подключений RDP PowerShell

AnyViewer: Проверьте исходящие журналы подключений в Windows с легкостью

Если вы используете бесплатное программное обеспечение для удаленного рабочего стола AnyViewer, вам легко будет проверить исходящие удаленные подключения, которые вы выполнили с вашего компьютера. AnyViewer поддерживает как серверы Windows, так и операционные системы Windows. Ознакомьтесь со следующими подробными шагами.

Шаг 1. Загрузите, установите и запустите AnyViewer на вашем компьютере.

Скачать БесплатноКомпьютеры и серверы на Windows
Безопасный скачивание

Шаг 2. Если у вас уже есть учетная запись AnyViewer, вы можете войти напрямую. Если нет, заполните информацию для регистрации и нажмите Зарегистрироваться, чтобы создать учетную запись AnyViewer.

Войти в AnyViewer

Шаг 3. Затем вы можете увидеть, что вы успешно вошли в AnyViewer. Перейдите на вкладку Устройство, проверьте список Текущие подключения. Здесь перечислены последние 10 удаленных подключений, которые вы выполнили.

Текущие подключения

Шаг 4. Вы также можете выбрать конкретное устройство и нажать Свойства. Вы увидите IP-адрес подключенного компьютера и конкретное время подключения.

Device Properties

Заключение

Этот пост в основном представляет способы проверки журналов подключения RDP к серверу Windows. Это будет очень полезно, если вы хотите знать входящее и исходящее RDP-подключение на вашем сервере Windows. Если вы используете AnyViewer, вам будет проще проверить удаленное подключение, которое вы осуществили.