Ich verbinde mich mit meinem Arbeits-PC über VPN/RDP und ich würde gerne eine Protokolldatei auf meinem Arbeits-PC finden, die einige Informationen darüber enthält, wann ich sie zuletzt benutzt habe, von wo meine Verbindung ausging und wie lange sie dauerte. Wo in Windows 7 würde ich nachschauen, um das herauszufinden?
Wenn Sie sich als Administrator die Ereignisanzeige ansehen, gibt es Serverprotokolle, aber nicht für die Anmeldung/Abmeldung, soweit ich weiß.
Schauen Sie bitte in der Ereignisanzeige auf der linken Seite unter “Anwendungs- und Dienstprotokolle -> Windows -> TerminalServices-*” nach, wobei * dort alle Protokolle sind. Ich denke, Sie sind am meisten am TerminalService-LocalSessionManager-Betriebsprotokoll interessiert. Die Ereignis-ID 21 liefert die IP-Adresse der eingehenden Verbindung.
Es gibt auch einen “RemoteDesktopServices-RemoteDesktopSessionManager”-Knoten in der Ereignisanzeige auf der linken Seite unter “Anwendungen und Dienstprotokolle -> Windows”. Ich glaube, dass nur die Rolle “Administrator” berechtigt ist, die Datei anzuzeigen. Bitte bestätigen Sie dies und lassen Sie mich wissen, ob dies Ihren Anwendungsfall anspricht.
Vielleicht versuchen Sie dies auch für die Protokollierung der An-/Abmeldung http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Schauen Sie unter ‘Anwendungs- und Dienstprotokolle’ > ‘Microsoft’ > ‘Windows’ > ‘TerminalServices-ClientActiveXCore’ > ‘Microsoft-Windows-TerminalServices-RDPClient/Operation’ ,
Dieses Protokoll enthält Ereignisse, die den Servernamen enthalten, mit dem der Endbenutzer versucht hat, eine RDP-Verbindung herzustellen.
Ich kann Ihnen nicht sagen, wie Sie von Ihrem Arbeitsrechner aus überprüfen können, wann Sie ein VPN eingerichtet haben, da es vermutlich nicht der VPN-Server ist (?). Wenn Sie jedoch die Remotedesktopverbindung verwenden, um den Arbeits-PC zu steuern, können Sie vielleicht die Anmelde-/Abmeldezeiten aus der Ereignisanzeige ziehen.
Suchen Sie in den Sicherheitsprotokollen nach diesen. RDP-Anmeldungen sind ein Event ID 4624, aber einfach nach 4624 zu suchen, wird nicht funktionieren. Innerhalb des Ereignisses muss der Wert für den Anmeldetyp “10” sein und der Wert für die SecurityID muss Ihrer sein. Ich bin nicht sicher, wie ich diese filtern kann…
In Ihrem Fall müssen Sie TerminalServices-LocalSessionManager und TerminalServices-RemoteConnectionManager Logs von Ihrem Computer überprüfen.
Sie können auch ein ausgezeichnetes Drittanbieter-Tool namens SysKit, früher Terminal Services Log ausprobieren. Es generiert Ihnen alle Arten von Berichten aus den Protokollen und spart Ihnen einen Haufen Zeit, wenn Sie alle Details über RDP-Verbindungen und andere Dinge erfahren wollen.
Bitte beachten Sie: Ich bin mit Acceleratio, dem Hersteller des oben erwähnten Tools, verbunden, daher könnte ich hier ein wenig voreingenommen sein.
Ich habe die Informationen in der Ereignisanzeige unter Windows-Protokolle/Sicherheit gefunden, die Sie unter der Aufgabenkategorie An- und Abmeldeereignisse finden.
Verwenden Sie den Befehl quser, um Sitzungen anzuzeigen.
Dann sehen Sie etwas wie ID 1 oder 2 oder 4. Geben Sie dann Logoff 4 ein, um diese Sitzung abzumelden.
Sie können auch query session oder qwinsta (beides ist das Gleiche) eingeben, um anzuzeigen, wer eingeschaltet ist und welcher Port zuhört usw.