5
Protokoll RDP Logins
Hallo,
gibt es eine Möglichkeit herauszufinden welcher User sich zu welcher Uhrzeit per RPD auf einer Maschine angemeldet hat?
Viele Grüße,
Herry
gibt es eine Möglichkeit herauszufinden welcher User sich zu welcher Uhrzeit per RPD auf einer Maschine angemeldet hat?
Viele Grüße,
Herry
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 325681
Url: https://administrator.de/contentid/325681
Printed on: April 25, 2024 at 13:04 o'clock
5 Comments
Latest comment
Moin,
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
ansonsten lasse (per GPO) beim Anmelden via Batch irgendwo eine Textdatei erstellen, aus der ersichtlich wird, welcher User sich gerade anmeldet.
Spannend wäre noch zu wissen:
wird eine neue Verbindung aufgebaut oder wird sich zu einer getrennten Sitzung wiederverbunden?
GRuß
em-pie
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
ansonsten lasse (per GPO) beim Anmelden via Batch irgendwo eine Textdatei erstellen, aus der ersichtlich wird, welcher User sich gerade anmeldet.
Spannend wäre noch zu wissen:
wird eine neue Verbindung aufgebaut oder wird sich zu einer getrennten Sitzung wiederverbunden?
GRuß
em-pie
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
hab ich schon, finde da aber nichts das auf eine RDP Meldung deutet.Windows-Protokolle -> Sicherheit
Da der Computer nun Offline ist, ist wichtig was in der Vergangenheit war und nicht was zukünftig passiert
Habe gerade bei mir geschaut und im eventlog tauchen dort Einträge der "Kategorie" Anmelden und Abmelden auf.
Dort wird zwar auch permanent Protokolliert, welcher anderen Systeme/ Computerkonten sich angemeldet haben, aber vereinzelt habe ich auch Daten von Usern gefunden. Du musst halt in das Event selbst schauen
mit dem Suchen-Button links kannst du dann gezielt nach bestimmten Usern suchen.
Ansonsten: Export (csv) und mit Excel o.Ä. filtern/ suchen, was auch immer..
Dort wird zwar auch permanent Protokolliert, welcher anderen Systeme/ Computerkonten sich angemeldet haben, aber vereinzelt habe ich auch Daten von Usern gefunden. Du musst halt in das Event selbst schauen
mit dem Suchen-Button links kannst du dann gezielt nach bestimmten Usern suchen.
Ansonsten: Export (csv) und mit Excel o.Ä. filtern/ suchen, was auch immer..
1
Moin,
alternativ schau dir mal in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManage an. Dort werden ausschließlich RDP-Anmeldungen vermerkt.
Gruß,
Dani
alternativ schau dir mal in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManage an. Dort werden ausschließlich RDP-Anmeldungen vermerkt.
Gruß,
Dani
1
Servus.
Mit Powershell z.B. so auszulesen:
Grüße Uwe
Mit Powershell z.B. so auszulesen:
Get-WinEvent -Logname 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (EventID=1149)]]" | %{
$event = [xml]$_.ToXML()
[pscustomobject]@{'Time'=$_.TimeCreated;'Username'=$event.Event.UserData.EventXML.Param1;'Source-IP'=$event.Event.UserData.EventXML.Param3}
}
