Как посмотреть логи подключения к удаленному рабочему столу

Мониторинг внешнего входа и выхода пользователей Windows

Пример Просмотр и анализ логов RDP подключений в Windows

Ключ в zabbix будет использоваться eventlog

Мониторинг журналов событий.
Журнал (лог)

имя – имя журнала событий
регулярное выражение – регулярное выражение описывающее требуемый шаблон содержимого
важность – регулярное выражение описывающее важность
Параметр может принимать следующие значения:
“Information”, “Warning”, “Error”, “Critical”, “Verbose” (начиная с Zabbix 2.2, работающих на Windows Vista или на более новых версиях)
источник – регулярное выражение, описывающее идентификатор источника (регулярное выражение поддерживается начиная с версии Zabbix 2.2.0)
eventid – регулярное выражение описывающее идентификатор(ы) событий
макс. кол-во строк – максимальное количество новых строк в секунду, которое агент будет отправлять Zabbix серверу или прокси. Этот параметр заменяет значение ‘MaxLinesPerSecond’ в zabbix_agentd.win.conf
режим – возможные значения:
all (по умолчанию), skip – пропустить обработку старых данных (влияет только на недавно созданные элементы данных).

Элемент данных должен быть настроен активной проверкой.

Обратите внимание, агент не может отправлять события из “Пересланные события” журнала.

Параметр режим поддерживается начиная с версии 2.0.0.
“Windows Eventing 6.0” поддерживается начиная с Zabbix 2.2.0.

Обратите внимание, что выбор не журнального типа информации для этого элемента данных приведет к потере локального штампа времени, а также важности журнала и информации о источнике.

Смотрите дополнительную информацию о мониторинге файлов журналов.

СПЕЦИФИЧНЫЕ КЛЮЧИ ЭЛЕМЕНТОВ ДАННЫХ

Триггер
logeventid
Проверка, совпадает ли ID события последней записи из журнала указанному регулярному выражению.
шаблон – регулярное выражение описывающее требуемый шаблон, в формате расширенных регулярных выражений POSIX.
Поддерживаемые типы значений: log
Возвращает:
0 – не совпадает
1 – совпадает

Изначально шаблон был взят с Windows Server Login monitor далее путь на гитхаб Server-Login-monitor-Zabbix

Для начала оригинальный шаблон автора который был скачен с гитхаба

Windows external login monitor

Группы элементов данных
Log
RDP

Триггер Windows external login monitor.jpg

Далее первые изменения в шаблоне
Переведён полностью на Русский язык
Добавлены описания
Добавлен триггер на повторный вход 25

Windows external login monitor rus.jpg

Группы элементов данных
LOG-RDP&Local

Вход на удаленный рабочий стол
Монитор РДП вход и выход

17 – ошибка Не удалось запустить службу удаленного рабочего стола
21 – успешный Вход
22 – получено уведомление о запуске оболочки
23 – выход из сеанса
24 – отключен
25 – успешное пере подключение

Триггер 2 Windows external login monitor rus.jpg

Сперва текущий актуальный шаблон на 12.01.2021, ниже как это делалось какие проблемы возникали и тд.

19.08.2022
Для элемента данных “Получаем предыдущее значение для Windows LSM”
если Windows включен но никто не заходил данные пустые строки нет и элемент уходит в ошибку что тип не числовой, в предобработке при пустом значении делаем 0.

Шаблон Монитор внешнего входа Windows.jpg

Группы элементов данных LOG-RDP&Local

Элементы данных 5

Элементы данных Монитор внешнего входа Windows

Элемент данных Вход в Windows LSM

Если RDP закрыт, а не завершен то в журнале
24 – отключен
после триггер действие завершение и
23 – выход из сеанса (закрывает триггер)

А если завершен, в логе
23-выход из сеанса
24 – отключен
И по этому триггер на отключение не закрывается

Поэтому смотрим предпоследнюю запись если она 23 триггер не срабатывает.

Вход в Windows RCM

(Win+R) команду eventvwr.msc

Элемент данных Вход в Windows Security

Элемент данных ClientName

Проверка со стороны сервера
zabbix_get -s 192.168.ххх.ххх -k 1

Триггер Повтора Входа Аунтификации Монитор внешнего входа Windows

Срабатывает если последняя запись 24 и предпоследняя не равна 23
не создавалось множество указано diff

Из журнала Microsoft-Windows-TerminalServices-LocalSessionManager/Operational можем получить
Пользователь: источника: Код сеанса:

Локально: 21
Службы удаленных рабочих столов: Успешный вход в систему:

/Пользователь: COMPTVМедиа
Код сеанса: 1
Адрес сети источника: ЛОКАЛЬНЫЕ

Посети: 21
Службы удаленных рабочих столов: Успешный вход в систему:

/Пользователь: COMPTVМедиа
Код сеанса: 2
Адрес сети источника: 192.168.175.8

Посети: 25
Службы удаленных рабочих столов: Успешное переподключение сеанса:

Пользователь: COMPTVМедиа
Код сеанса: 1
Адрес сети источника: 192.168.175.8

По сети: 24
Службы удаленных рабочих столов: Сеанс был отключен:

Локально 23
Службы удаленных рабочих столов: Успешный выход из сеанса:

Триггер RDP auth Пользователь: ДоменMamzikovAA источника: 192.168.175.8 Код сеанса: 4

21
Службы удаленных рабочих столов: Успешный вход в систему:
/Пользователь: ДоменMamzikovAA
Код сеанса: 4
Адрес сети источника: 192.168.175.8

23
Службы удаленных рабочих столов: Успешный выход из сеанса:
Пользователь: ДоменMamzikovAA
Код сеанса: 4

24
Службы удаленных рабочих столов: Сеанс был отключен:
Пользователь: ДоменMamzikovAA
Код сеанса: 4
Адрес сети источника: 192.168.175.8

25
Службы удаленных рабочих столов: Успешное переподключение сеанса:
Пользователь: ДоменАдминистратор
Код сеанса: 1
Адрес сети источника: 192.168.175.10

4647 – выход
Выход, запрошенный пользователем:
Субъект:
ИД безопасности: S-1-5-21-59707171-3867655147-1643063056-500
Имя учетной записи: Администратор
Домен учетной записи: FSServer
Код входа: 0x163d7532
Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.

4634 – выход (23 в 2 журнале)
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: ДоменMamzikovAA
Имя учетной записи: MamzikovAA
Домен учетной записи: Домен
Код входа: 0x28a9692
Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения “Код входа”. Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

Пример eventlog Security 4624.jpg

Вход в Windows RCM-Remote Connection Manager

1149 – установление сетевого подключение к серверу от RDP клиента пользователя (не аунтификация)
4624 – успешная аутентификация
4625 – ошибка аутентификации
При входе через терминальную службу RDP — LogonType = 10 или 3.
Если LogonType = 7, значит выполнено переподключение к уже имеющейся RDP сессии.
Account Name – имя пользователя
Workstation Name – имя компьютера
Source Network Address – имя пользователя
TargetLogonID – уникальный идентификатор сессии пользователя

Службы удаленных рабочих столов: Успешная проверка подлинности пользователя:
Пользователь: Администратор
Домен: FSServer
Адрес источника сети: 192.168.175.8

Следующая проблемка
Отключенные пользователи которые не завершили сеанс, а просто его закрыли! Корректно нужно завершать сеанс, так же нужно проверять.
Копятся не закрываются триггеры

Разница Завершения Сеанса пользователя и отключения

По завершению и закрытию сеанса RDP

Завершение сеанса
23 – выход из сеанса (закрываем триггер все хорошо или не даем триггеру открыться)
24 – отключен

При закрытии сессии RDP на крестик
24 – отключен сработал триггер (выполним действие на завершение пользователя) и дальше его ничто уже не закроет так как 23 уже было в логе
23 – выход из сеанса, сработало действие на завершение сеанса пользователя по триггеру отключен

Открытие Срабатывание триггера отключённых пользователей происходить по 24 значению лога
а закрытие триггера по 23 значению лога

23 – выход из сеанса (закрывает триггер)
24 – отключен
Срабатывает если последняя запись 24 и предпоследняя не равна 23
не создавалось множество указано diff

:/>  Ctrl левая кнопка мыши

По отключенным триггер срабатывает если 24 и предыдущая строка не 23

Так же была попытка сделать через теги , корреляцию.

Добрый день! Поясните правильно ли я понимаю работу тегов или нет.

Запрашиваю каждую 1 минуту

Описание
17 – ошибка Не удалось запустить службу удаленного рабочего стола
21 – успешный Вход
22 – получено уведомление о запуске оболочки
23 – выход из сеанса
24 – отключен
25 – успешное переподключение

Суть вопроса в чем
Кто то отключился Сработал триггер, регулярка отработала присвоила триггеру тег например 2

Дальше у меня действие спустя 5 минут завершить сессию данного пользователя (мало ли просто обрыв инет пропал даю 5 минут ожидания)
Элемент за это время у нас еще отпроситься 4 раза, естественно там регулярки не будет, так как изменений в логе нет по этой сессии

Сам же отвечу пустые Логи не приходят, только идут по штампу времени значит значение тега сохраняется, так же если будут изменения лога присвоится другой ID и триггер закроется или сработает другой или действия.

Сам отвечу не будет пустым, выше ответ почему.

но сбоку сработавшего триггера значение тега есть никуда не пропало выходит что он это значение никак не берет? и его никак не взять?
Т.е. действие нужно выполнять сразу пока элемент повторно не получил пустое значение ?

В некоторых попытках в триггер можно получить предыдущее значение журнала (лога) но уже нельзя сравнить id

Открываем Журнал событий Run (Win+R) команду eventvwr.msc

1100 – Завершение работы
1102 – Очистка журнала
4624 – Вход в систему для обычной windows Новый вход: – Имя учетной записи: Сведения о сети: – Имя рабочей станции
4648 – Вход Windows (серверов) Были использованы учетные данные следующей учетной записи: Имя учетной записи:
Целевой сервер: – Имя целевого сервера:
4634 – выход (23 в 2 журнале)
4647 – выход
4778 – Пользователь переподключился к RDP сессии (пользователю выдается новый LogonID)
4799 – Отключение от RDP сеанса
9009 – Пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен

WshShell = Новый COMОбъект(“WScript. Shell”);
WshSysEnv = WshShell. Environment(“Process”);
Сообщить(“Имя компьютера “+WshSysEnv. Item(“CLIENTNAME”));
Работает только в терминальной сессии

реестр всех пользователей
C:mkdir c:Temp
Regedit.exe /e c: empyourname.reg

date
Текущая дата в формате ГГГГММДД. Поддерживаемые типы значений: любые Пример результата: 20150731

time
Текущее время в формате ЧЧММСС. Поддерживаемые типы значений: любые Пример возвращаемого значения: 123055

Имя Time diff
Тип Вычисляемое
Ключ system.localtime.fuzzytime
Формула fuzzytime(system.localtime,60)
Тип инфы Числовой (целое положительное)
Интервал 1m

Если 3 последних 0 т.е. 0+0+0 = 0 значит триггер срабатывает у нас есть расхождение более чем на 1 минуту
Триггер
system.localtime.fuzzytime.sum(#3)}=0

system.localtime -формат ДД. ММ. ГГГГ ЧЧ:ММ:СС

FIND /I – Поиск без учета регистра символов “строка” – Искомая строка
FIND /N – Вывод номеров отображаемых строк.
FIND /V – Вывод всех строк, НЕ содержащих заданную строку.

Кото для теста хочет подключатся к учетной записи по RDP без пароля не обходимо выполнить следующее

При попытке подключиться к компьютеру под управлением Windows с помощью средства дистанционного управления рабочим столом появляется следующее сообщение об ошибке: Вход в систему невозможен из-за ограничений для учетной записи.
Подобное поведение наблюдается, если используемая для подключения учетная запись имеет пустой пароль. Невозможно установить подключение к удаленному рабочему столу, используя учетную запись с пустым паролем.
Чтобы устранить эту проблему и подключиться к удаленному рабочему столу, войдите в систему с консоли компьютера и установите пароль для используемой учетной записи.
Такое поведение является особенностью данного продукта
Ограничения, накладываемые пустым паролем, можно отключить, используя политику. Найдите и измените соответствующую политику, выполнив следующие действия:
Нажмите кнопку Пуск, выберите пункт Выполнить (win + R), введите команду gpedit.msc и нажмите кнопку OK, чтобы запустить редактор объектов групповой политики.
Откройте раздел Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПараметры безопасностиУчетные записи: Limit local account use of blank passwords to console logon only.
Дважды щелкните элемент Limit local account use of blank passwords to consol logon only.(:ограничить использования пустых паролей только для консолей входа)
Выберите отключен и нажмите кнопку OK.
Закройте редактор групповой политики.
Примечание. По умолчанию данная политика включена.

Автор вопроса: Данил Краснов

У нас есть 15 ответов на вопрос Как посмотреть историю подключений по RDP? Скорее всего, этого будет достаточно, чтобы вы получили ответ на ваш вопрос.

Отвечает Дмитрий Бабичев

Сколько трафика уходит на подключение к удаленному рабочему столу?

Если удаленный доступ на скорости 5Мб/с, то за 8 часов раб. дня будет 2400Мбит или 300 МБайт трафика. Но как правило программы удаленного доступа стараются уменьшать трафик, поэтому он может быть и меньше. Удаленный доступ можно настроить на разные скорости, улучшив или наоборот качество картинки, размер и т.

Отвечает Артур Кабелевский

Вопрос следующий, у нас есть виртуалка на которой стоит Windows Server, с Remote Desktop Protocol. Вопрос: Где хранится история подключений к RDP ?

Отвечает Алексей Буйницкий

Отвечает Даня Омаров

Отвечает Слава Сотов

(нужна история подключений Windows Server )

Отвечает Елена Вуберман

Отвечает Дмитрий Удодов

Нужно узнать с каких ай-пи производилось подключение к моему компьютеру через стандартный виндосовский “RDP – удаленный рабочий стол”.

Отвечает Паша Аликандров

Отвечает Зарина Вебер

Как узнать кто, когда и зачем заходил в ваш компьютер


Как посмотреть логи подключения к удаленному рабочему столу

RDP клиент- в двух словах.


Как посмотреть логи подключения к удаленному рабочему столу

RDP-подключения. Удалёнка из дома на работу. Создать RDP-файл


Как посмотреть логи подключения к удаленному рабочему столу

Удаленный рабочий стол RDP. Подробная настройка. Windows 7, 8, 10

В этой статье мы рассмотрим, особенности аудита / анализа логов RDP подключений в Windows. Как правило, описанные методы могут пригодиться при расследовании различных инцидентов на терминальных / RDS серверах Windows, когда от системного администратора требуется предоставить информацию: какие пользователи входили на RDS сервер, когда авторизовался и завершил сеанс конкретный пользователь, откуда / с какого устройства (имя или IP адрес) подключался RDP-пользователь. Я думаю, эта информация будет полезна как для администраторов корпоративных RDS ферм, так и владельцам RDP серверов в интернете (Windows VPS как оказалось довольно популярны).

Как и другие события, логи RDP подключения в Windows хранятся в журналах событий. Откройте консоль журнала событий (Event Viewer). Есть несколько различных журналов, в которых можно найти информацию, касающуюся RDP подключения.

В журналах Windows содержится большое количество информации, но быстро найти нужное событие бывает довольно сложно. Когда пользователь удаленно подключается к RDS серверу или удаленному столу (RDP) в журналах Windows генерируется много событий. Мы рассмотрим журналы и события на основных этапах RDP подключения, которые могут быть интересны администратору:


Как посмотреть логи подключения к удаленному рабочему столу

В результате у вас получится список с историей всех сетевых RDP подключений к данному серверу. Как вы видите, в логах указывается имя пользователя, домен (используется NLA аутентификация, при отключенном NLA текст события выглядит иначе) и IP адрес компьютера, с которого осуществляется RDP подключение.

:/>  5 самых эффектных компьютерных розыгрышей


Как посмотреть логи подключения к удаленному рабочему столу

При этом имя пользователя содержится в описании события в поле Account Name, имя компьютера в Workstation Name, а имя пользователя в Source Network Address.

Вы можете получить список событий успешных авторизаций по RDP (событие 4624) с помощью такой команды PowerShell.


Как посмотреть логи подключения к удаленному рабочему столу

Событие с EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии).

При этом в журнале Security нужно смотреть событие EventID 4634 (An account was logged off).

Событие Event 9009 (The Desktop Window Manager has exited with code ( ) в журнале System говорит о том, что пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен.

Ниже представлен небольшой PowerShell, который выгружает из журналов терминального RDS сервера историю всех RDP подключений за текущий день. В полученной таблице указано время подключения, IP адрес клиента и имя RDP пользователя (при необходимости вы можете включить в отчет другие типы входов).


Как посмотреть логи подключения к удаленному рабочему столу

Иногда бывает удобно с логами в таблице Excel, в этом случае вы можете выгрузить любой журнал Windows в текстовый файл и импортировать в Excel. Экспорт журнала можно выполнить из консоли Event Viewer (конечно, при условии что логи не очищены) или через командную строку:

Список текущих RDP сессий на сервере можно вывести командой:


Как посмотреть логи подключения к удаленному рабочему столу

Список запущенных процессов в конкретной RDP сессии (указывается ID сессии):


Как посмотреть логи подключения к удаленному рабочему столу

На RDP-клиенте логи не такие информационные, основное чем часто пользуются информация об истории RDP подключений в реестре.

Как посмотреть логи windows

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.


Как посмотреть логи подключения к удаленному рабочему столу

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.


Как посмотреть логи подключения к удаленному рабочему столу

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.


Как посмотреть логи подключения к удаленному рабочему столу

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.


Как посмотреть логи подключения к удаленному рабочему столу

Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).


Как посмотреть логи подключения к удаленному рабочему столу

Фильтрация в просмотре событий

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.


Как посмотреть логи подключения к удаленному рабочему столу

Вас попросят указать уровень событий:

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.


Как посмотреть логи подключения к удаленному рабочему столу

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

небольшой список абревиатур

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:


Как посмотреть логи подключения к удаленному рабочему столу

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Как видите формат уже более читабельный.


Как посмотреть логи подключения к удаленному рабочему столу

Так же можно пофильтровать журналы например показать последние 20 сообщений


Как посмотреть логи подключения к удаленному рабочему столу

Или выдать список сообщение позднее 1 ноября 2014

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org

Удаленный просмотр логов


Как посмотреть логи подключения к удаленному рабочему столу

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска


Как посмотреть логи подключения к удаленному рабочему столу

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.


Как посмотреть логи подключения к удаленному рабочему столу

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.


Как посмотреть логи подключения к удаленному рабочему столу

Вот пример фильтрации по событию 19.


Как посмотреть логи подключения к удаленному рабочему столу

Как посмотреть логи подключения к удаленному рабочему столу

Указываем имя другого компьютера, в моем примере это будет SVT2019S01


Как посмотреть логи подключения к удаленному рабочему столу

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Команда QUERY используется для получения информации об использовании терминальных серверов пользователями, выполнившими подключение к удаленным рабочим столам по протоколу RDP (Remote Desktop Protocol). Позволяет получить сведения о подключениях и некоторые статистические данные об использовании ресурсов терминальных серверов.

Команда применяется в одном из контекстов:

По каждому из контекстов можно получить подсказку по использованию:

Query PROCESS /? – отобразить справочную информацию об использовании команды query process – сведения о процессах.

Для получения сведений о сеансах пользователей используется команда:

имя сеанса – Имя сеанса.

пользователь – Сеанс пользователя с этим именем.

ID сеанса – Идентификатор сеанса.

/SERVER: сервер – Опрашиваемый сервер (по умолчанию текущий).

:/>  Как войти в режим восстановления Windows при включении

/MODE – Отображение текущих параметров линии. Используется при удаленном подключении с использованием последовательных линий связи.

/FLOW – Отображение текущих параметров управления потоком. Используется при удаленном подключении с использованием последовательных линий связи .

/CONNECT – Отображение текущих параметров подключения.

/COUNTER – Отображение информации счетчиков служб удаленных рабочих столов.

/VM – Отображение информации о сеансах в виртуальных машинах.

query session /server: rdserver1 – отобразить сведения о сеансах всех пользователей терминального сервера rdserver1

Пример отображаемой информации:

query session /server: rdserver /mode – отобразить сведения о параметрах последовательного порта – скорость передачи, длина посылки, тип контроля четности, длина стоповых бит.

query session /server: SERVER /counter – отобразить статистические сведения о сеансах удаленного рабочего стола сервера SERVER. В этом случае, кроме списка активных сеансов, отображается еще и статистика в виде :

Всего сеансов создано: 185955

Всего сеансов отключено: 186146

Всего сеансов переподключено: 261

query session 1446

qwinsta – отобразить информацию о всех сеансах всех пользователей текущего компьютера. Локальные сеансы отображаются с именем console, удаленные – rdp-tcp#N

Для получения сведений о терминальных серверах домена используется команда:

Параметры командной строки:

имя_сервера – Задает сервер, обслуживающий сеансы подключения к удаленному рабочему столу.

/DOMAIN:домен – Отображение информации для указанного домена (по умолчанию для текущего домена).

/ADDRESS – Отображение адресов сети и узлов.

/CONTINUE – Не останавливаться при заполнении каждого экрана.

query termserver – отобразить информацию о всех терминальных серверах текущего домена.

query termserver RDserver /ADDRESS – отобразить информацию о терминальном сервере RDserver текущего домена, включая его адрес.

qappsrv.exe /domain:MyDom – отобразить информацию о терминальных серверах домена MyDom .

Для отображения сведений о процессах используется команда:

* – Отображать все видимые процессы.

ID процесса – Отображение процесса, заданного этим идентификатором.

пользователь – Отображение всех процессов для данного имени пользователя.

имя сеанса – Отображение всех процессов для указанного сеанса.

/ID:nn – Отображение всех процессов для сеанса nn.

имя программы – Отображение всех процессов, связанных с этой программой.

/SERVER: имя_сервера Опрашиваемый сервер, обслуживающий сеансы подключения к удаленному рабочему столу.

Примеры использования QPROCESS:

QUERY PROCESS /? – отобразить подсказку по использованию команды.

QUERY PROCESS * – отобразить сведения обо всех видимых процессах

QUERY PROCESS – при выполнении команды без параметров, отображаются сведения о процессах текущего пользователя.

QUERY PROCESS /server:winsrv – отобразить процессы текущего пользователя на сервере с именем winsrv

query process система – отобразить сведения о системных процессах.

QUERY PROCESS svchost.exe – отобразить сведения о процессах, связанных с исполняемым файлом svchost.exe

При получении сведений о процессах, связанных с исполняемым файлом, указывать расширение обязательно. Например:

query process services.exe – отобразить сведения о процессах, связанных с исполняемым файлом services.exe

query process services – отобразить сведения о процессах, связанных с сеансом services

query process console – отобразить все процессы сеанса console – локального пользователя Windows.

query process rdp-tcp#0 – отобразить все процессы, связанные с удаленным сеансом rdp-tcp#0.

QPROCESS /ID:144 – отобразить процессы сеанса с идентификатором 144

При большом объеме информации, можно использовать команду QUERY PROCESS в цепочке с командой more :

Для получения сведений о пользователях используется команда:

пользователь – Имя пользователя.

имя сеанса – Имя сеанса.

ID сеанса – Идентификатор сеанса.

/SERVER: сервер – Опрашиваемый сервер (по умолчанию – текущий).

Весь список команд CMD Windows

Howto check RDP Windows Server connection logs

Here three ways are listed to help you check incoming and outgoing RDP Windows Server connection logs. These ways areapplicable when analyzing RDP logs for both Windows Server 2022/2019/2016/2012 R2 and to desktop editions (Windows 11, 10, 8.1, 8, and 7).

Part 1. How to check incoming RDP Windows Server connection logs

There are three ways to help you check incoming RDP Windows Server connection logs.

Way 1. Check incoming RDP connection logs via Event Viewer

The first way to check incoming RDP connection logs on Windows Server is using the Event Viewer.

Step 1. Press Win + R to invoke the Run dialog box, then type in “eventvwr.msc” and press OK to open Event Viewer.


Как посмотреть логи подключения к удаленному рабочему столу

Step 3. The Event ID of Remote Desktop Services is 1149. Then enter 1149 to filter the log.


Как посмотреть логи подключения к удаленному рабочему столу

Step 4. Then you will get an event list with the history of all RDP connections to this server.


Как посмотреть логи подключения к удаленному рабочему столу

Step 5. Click one of them, then you can see the details of the RDP connection, including IP address, computer name, login time, etc.


Как посмотреть логи подключения к удаленному рабочему столу

Way 2. Check incoming RDP connection logs via Registry

You can also check the incoming RDP connection logs on Registry.

Step 1. Press Win + R to invoke the Run dialog box, then type in “regedit” and press OK to open Registry.


Как посмотреть логи подключения к удаленному рабочему столу

Way 3. Check incoming RDP connection logs via PowerShell


Как посмотреть логи подключения к удаленному рабочему столу

TimeGenerated = $_. TimeGenerated


Как посмотреть логи подключения к удаленному рабочему столу

Part 2. How to check outgoing RDP Windows Server connection logs

Outgoing RDP connection logs can also be viewed on the client side. There are two options.

Way 1. Check outgoing RDP connection logs via Event Viewer


Как посмотреть логи подключения к удаленному рабочему столу

Way 2. Check outgoing RDP connection logs via PowerShell


Как посмотреть логи подключения к удаленному рабочему столу

Check outgoing connection logs on Windows with ease

If you usethe free remote desktop software AnyViewer, it would be easy for you to check the outgoing remote connection you have made from your computer. AnyViewer supports both Windows Servers and Windows operating systems. Check out the detailed steps below.

Step 1. Download, install, launch AnyViewer on your computer.

Step 2. If you already have an AnyViewer account, you can login directly. Если нет, заполните регистрационную информацию и нажмите «Зарегистрироваться», чтобы создать учетную запись AnyViewer.

Как посмотреть логи подключения к удаленному рабочему столу

Шаг 3. Затем вы увидите, что успешно вошли в AnyViewer. Перейдите на вкладку Устройство, проверьте Список подключенных устройств. Здесь перечислены последние 10 удаленных подключений, которые вы сделали.

Как посмотреть логи подключения к удаленному рабочему столу

Шаг 4. Вы также можете выбрать конкретное устройство и нажать «Свойства». Вы можете увидеть IP-адрес компьютера, к которому вы подключились, и конкретное время подключения.

Как посмотреть логи подключения к удаленному рабочему столу

Заключение

В этом посте в основном представлены способы проверки журналов подключений RDP Windows Server. Было бы очень полезно, если вы хотите знать входящее и исходящее RDP-соединение на вашем Windows Server. Если вы используете AnyViewer, вам будет проще проверить сделанное вами удаленное подключение.