Protokoll RDP Logins
Hallo,
gibt es eine Möglichkeit herauszufinden welcher User sich zu welcher Uhrzeit per RPD auf einer Maschine angemeldet hat?
Viele Grüße,
Herry
gibt es eine Möglichkeit herauszufinden welcher User sich zu welcher Uhrzeit per RPD auf einer Maschine angemeldet hat?
Viele Grüße,
Herry
Please also mark the comments that contributed to the solution of the article
Content-Key: 325681
Url: https://administrator.de/contentid/325681
Printed on: April 25, 2024 at 13:04 o'clock
5 Comments
Latest comment
Moin,
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
ansonsten lasse (per GPO) beim Anmelden via Batch irgendwo eine Textdatei erstellen, aus der ersichtlich wird, welcher User sich gerade anmeldet.
Spannend wäre noch zu wissen:
wird eine neue Verbindung aufgebaut oder wird sich zu einer getrennten Sitzung wiederverbunden?
GRuß
em-pie
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
ansonsten lasse (per GPO) beim Anmelden via Batch irgendwo eine Textdatei erstellen, aus der ersichtlich wird, welcher User sich gerade anmeldet.
Spannend wäre noch zu wissen:
wird eine neue Verbindung aufgebaut oder wird sich zu einer getrennten Sitzung wiederverbunden?
GRuß
em-pie
Habe gerade bei mir geschaut und im eventlog tauchen dort Einträge der "Kategorie" Anmelden und Abmelden auf.
Dort wird zwar auch permanent Protokolliert, welcher anderen Systeme/ Computerkonten sich angemeldet haben, aber vereinzelt habe ich auch Daten von Usern gefunden. Du musst halt in das Event selbst schauen
mit dem Suchen-Button links kannst du dann gezielt nach bestimmten Usern suchen.
Ansonsten: Export (csv) und mit Excel o.Ä. filtern/ suchen, was auch immer..
Dort wird zwar auch permanent Protokolliert, welcher anderen Systeme/ Computerkonten sich angemeldet haben, aber vereinzelt habe ich auch Daten von Usern gefunden. Du musst halt in das Event selbst schauen
mit dem Suchen-Button links kannst du dann gezielt nach bestimmten Usern suchen.
Ansonsten: Export (csv) und mit Excel o.Ä. filtern/ suchen, was auch immer..
Servus.
Mit Powershell z.B. so auszulesen:
Grüße Uwe
Mit Powershell z.B. so auszulesen:
Get-WinEvent -Logname 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (EventID=1149)]]" | %{
$event = [xml]$_.ToXML()
[pscustomobject]@{'Time'=$_.TimeCreated;'Username'=$event.Event.UserData.EventXML.Param1;'Source-IP'=$event.Event.UserData.EventXML.Param3}
}