Windows Server 2008查看遠程桌面登錄日誌:
控制面板->查看事件日誌->事件查看器(本地)->Windows日誌->安全,
在右側的列表會顯示出全部安全信息,然後可以查找 事件ID爲4776的條目,
點擊開後,“源工作站:“後邊的就是登陸本機的windows 客戶端的主機名。
每次查看都需要搜索比較麻煩,可以設置自動記錄到文件的方式創建登陸日誌:
建立一個存放日誌和監控程序的目錄,如在C盤下建立一個RDP目錄
在其目錄下建立一個名爲RDPlog.txt的文本文件和一個名爲RDPlog.bat的批處理文件
RDPlog.bat是執行記錄的腳本,RDPlog.txt是登錄日誌。RDPlog.bat內容爲:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer進入系統管理工具中的“終端服務器配置”,進入到默認RDP-Tcp屬性中、切換到“環境”頁下,啓用“用戶登錄時啓用下列程序”在程序路徑和文件名處填寫:C:\\RDP\\rdplog.bat;並在起始於填寫:C:\\RDP\\
完成以上的配置步驟後,當再次登錄服務器時就會記錄當前登錄者的時間和IP。
這樣每次登錄時都會有一個DOS的黑窗口一閃而過,隱藏窗口的方式:
1、仍舊在原來的目錄下新建一個名爲RDPLog.vbs腳本文件,內容如下:
Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:\\RDP\\RDPLog.bat" 0)
2、進入系統管理工具中的“終端服務器配置”,進入到默認RDP-Tcp屬性中切換到“環境”頁下,啓用“用戶登錄時啓用下列程序”
3、在程序路徑和文件名處填寫:wscript C:\\RDP\\RDPLog.vbs;並在起始於填寫:C:\\RDP\\
提醒位:想每次登陸都記錄訪問着的時間和IP,每次退出遠程桌面時,都必須選擇“註銷”用戶退出