如何记录终端服务会话
rad*_*dai 2 windows-server-2003 windows-server-2008
我有几台服务器(虚拟机,如果有什么不同)运行 Windows 2003 和 2008 服务器,并且有多个用户可以在任何给定时间登录到这些服务器中的任何一个。是否有可能以某种方式将用户登录/注销事件写入 Windows 2003 和 2008 服务器中的日志文件,以便我可以跟踪它?
谢谢。
编辑 - 我还想知道连接来自哪里(如在 ip/hostname 中)
它们已经(或应该)记录到安全日志中。
事件 ID 528 和 540 表示用户登录,类型 10 表示终端服务器/远程桌面会话。
事件 551 表示注销,而事件 4779 表示断开连接,而不是正确的注销。
(所有安全日志事件。)
坦率地说,解析这些事件的事件日志可能很麻烦,但至少在 2008 年以下,改进的日志查看器可以更轻松地过滤 EventLog 以仅显示您想要的事件。尽管如此(并且考虑到您拥有 2003 台服务器),可能值得您花时间编写 Powershell 脚本来为您解析这些值……或者为高质量的日志分析/聚合软件付费。
下面是您在 2003 年看到的日志对话框示例,尽管您可能希望将相关信息解析并提取为某处的文本格式(使用 PowerShell [相对] 容易)。
| 归档时间: |
|
| 查看次数: |
484 次 |
| 最近记录: |