要查看远程桌面连接历史记录,我们可以通过事件查看器进行查看,在事件查看器中可以查询到远程桌面连接的详细信息,包括远程IP地址、计算机名、登录时间等。

打开Windows事件查看器

方法一:

点击开始,输入事件,点击打开即可打开事件查看器。

方法二:

同时按住 Windows+R打开运行对话框,输入eventvwr.msc并回车打开事件查看器。

查看日志

RemoteConnectionManager

应用程序和服务日志 --> Microsoft --> Windows --> TerminalServices-RemoteConnectionManager

事件ID

事件说明

1149

用户身份验证成功。记录了登陆用户名来源IP。如果用户名为空白,则表明可能使用sticky Keys。1149并不代表成功登录到目标系统,只是表明RDP客户端和服务端网络连接成功

261

收到一个RDP-Tcp连接。

右键单击Operational并选择筛选当前日志

远程桌面服务的事件ID是1149,输入1149点击确定过滤。

您将获得一个事件列表,其中包含与该电脑或服务器的所有远程桌面连接的历史记录。

点击事件可以在下方查看登录的用户名及远程IP地址。

LocalSessionManager

应用程序和服务日志 --> Microsoft --> Windows --> TerminalServices-LocalSessionManager

事件ID

事件说明

25

会话连接成功。记录了登陆用户名来源IP

24

会话断开连接。同样记录了登陆用户名来源IP

安全

事件ID

事件说明

4625

帐户登录失败

4624

帐户已成功登录

4647

用户发起注销

4648

试图使用明确的凭证登录(可以用以查看远程登陆的相关信息,比如远程登陆的IP地址等)

4634

帐户被注销

常规中的详细内容:

帐户登录失败。

使用者:
	安全 ID:		NULL SID
	帐户名:		-
	帐户域:		-
	登录 ID:		0x0

登录类型:			3

登录失败的帐户:
	安全 ID:		NULL SID
	帐户名:		ADMIN
	帐户域:		

失败信息:
	失败原因:		未知用户名或密码错误。
	状态:			0xC000006D
	子状态:		0xC0000064

进程信息:
	调用方进程 ID:	0x0
	调用方进程名:	-

网络信息:
	工作站名:	-
	源网络地址:	192.168.xxx.xx
	源端口:		0

详细身份验证信息:
	登录进程:		NtLmSsp 
	身份验证数据包:	NTLM
	传递服务:	-
	数据包名(仅限 NTLM):	-
	密钥长度:		0

登录请求失败时在尝试访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
	-“传递服务”指明哪些直接服务参与了此登录请求。
	-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
	-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

导出日志

由于我们要分析日志,windows日志的可读性不高,比如要看远程登录IP的清单,只能一个个点击查看,通过日志导出可以满足需求。

在事件查看器右侧,点击将所有事件另存为

保存类型选择csv

保存后通过excel打开,可以看到每次事件的详细内容