none
是否可以查詢遠端連線的紀錄 RRS feed

  • 問題

  • Dear,

    請教一下, 是否可以查詢"遠端桌面連線"的紀錄?

    例如, 從哪個IP連上來, 什麼時候連的...etc.

    2012年6月25日 上午 12:56

解答

所有回覆

  • 您好!

    事件檢視器裡的安全性會有記錄,您可以去查一下登入記錄,事件代碼應該是4624

    • 已標示為解答 rainwind67 2012年6月25日 上午 03:58
    2012年6月25日 上午 01:45
    版主
  • 不曉得這個是不是你要的,或許你可以參考這篇討論。

    http://social.technet.microsoft.com/Forums/en-US/winserverTS/thread/803580b5-f2c1-4934-b17d-1646ae7b9919


    以上說明若有錯誤請指教,謝謝。
    http://www.dotblogs.com.tw/terrychuang/

    • 已標示為解答 rainwind67 2012年6月25日 上午 03:58
    2012年6月25日 上午 02:13
  • 雖然這個問題已經過了很久,相信樓主已經不再需要或是已經找到答案
    這個是我以前寫出來的批次檔,提供給有需要的人搜尋到此時可以找到答案
    以下為批次檔的內容
    @echo off
    @For /f "tokens=1-3 delims=/ " %%a in ('date /t') do (set date=%%a-%%b-%%c)
    @echo The date is %date%
    rename c:\tslog\tslog.log %date%.log
    if not exist c:\TSLOG md c:\TSLOG
    if not exist c:\tslog\%date%.log type nul > c:\tslog\%date%.log
    cacls c:\tslog\%date%.log /E /G users:F
    echo  ********************************************************************* >>c:\tslog\%date%.log
    echo   時間:%date% %time% >>c:\tslog\%date%.log
    echo   遠端電腦: %CLIENTNAME% >>c:\tslog\%date%.log
    echo   登入網域: %USERDOMAIN% >>c:\tslog\%date%.log
    echo   登入帳號: %USERNAME% >>c:\tslog\%date%.log
    echo   遠端連線狀況 >>c:\tslog\%date%.log
    netstat -n -p tcp | find ":3389" >>c:\tslog\%date%.log
    echo  ********************************************************************* >>c:\tslog\%date%.log
    請將以上內容透過記事本另存為bat檔,並請設定開機自動執行此批次檔
    執行後會於C槽創建tslog資料夾,並創建一個以當日日期為檔名的log檔
    如果同日有多人登入遠端桌面,紀錄會自動繼續寫入當日的log檔中
    (請注意,若你有改過遠端桌面的連接埠,請將3389修改為你修改後的port)
    但...目前此批次檔在windows 2016中執行會有一個大問題
    就是使用者在連入後,出現的ip位置是此部伺服氣的Getway,所以此批次檔形同虛設
    目前我也還在找尋解決的辦法

    2019年7月4日 上午 01:28