Protokoll RDP Logins
Hallo,
gibt es eine Möglichkeit herauszufinden welcher User sich zu welcher Uhrzeit per RPD auf einer Maschine angemeldet hat?
Viele Grüße,
Herry
gibt es eine Möglichkeit herauszufinden welcher User sich zu welcher Uhrzeit per RPD auf einer Maschine angemeldet hat?
Viele Grüße,
Herry
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325681
Url: https://administrator.de/forum/protokoll-rdp-logins-325681.html
Ausgedruckt am: 25.04.2025 um 07:04 Uhr
5 Kommentare
Neuester Kommentar
Moin,
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
ansonsten lasse (per GPO) beim Anmelden via Batch irgendwo eine Textdatei erstellen, aus der ersichtlich wird, welcher User sich gerade anmeldet.
Spannend wäre noch zu wissen:
wird eine neue Verbindung aufgebaut oder wird sich zu einer getrennten Sitzung wiederverbunden?
GRuß
em-pie
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
ansonsten lasse (per GPO) beim Anmelden via Batch irgendwo eine Textdatei erstellen, aus der ersichtlich wird, welcher User sich gerade anmeldet.
Spannend wäre noch zu wissen:
wird eine neue Verbindung aufgebaut oder wird sich zu einer getrennten Sitzung wiederverbunden?
GRuß
em-pie
schau mal ins eventlog unter
Windows-Protokolle -> Sicherheit
hab ich schon, finde da aber nichts das auf eine RDP Meldung deutet.Windows-Protokolle -> Sicherheit
Da der Computer nun Offline ist, ist wichtig was in der Vergangenheit war und nicht was zukünftig passiert
Habe gerade bei mir geschaut und im eventlog tauchen dort Einträge der "Kategorie" Anmelden und Abmelden auf.
Dort wird zwar auch permanent Protokolliert, welcher anderen Systeme/ Computerkonten sich angemeldet haben, aber vereinzelt habe ich auch Daten von Usern gefunden. Du musst halt in das Event selbst schauen
mit dem Suchen-Button links kannst du dann gezielt nach bestimmten Usern suchen.
Ansonsten: Export (csv) und mit Excel o.Ä. filtern/ suchen, was auch immer..
Dort wird zwar auch permanent Protokolliert, welcher anderen Systeme/ Computerkonten sich angemeldet haben, aber vereinzelt habe ich auch Daten von Usern gefunden. Du musst halt in das Event selbst schauen
mit dem Suchen-Button links kannst du dann gezielt nach bestimmten Usern suchen.
Ansonsten: Export (csv) und mit Excel o.Ä. filtern/ suchen, was auch immer..
1
Moin,
alternativ schau dir mal in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManage an. Dort werden ausschließlich RDP-Anmeldungen vermerkt.
Gruß,
Dani
alternativ schau dir mal in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManage an. Dort werden ausschließlich RDP-Anmeldungen vermerkt.
Gruß,
Dani
1
Servus.
Mit Powershell z.B. so auszulesen:
Grüße Uwe
Mit Powershell z.B. so auszulesen:
Get-WinEvent -Logname 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (EventID=1149)]]" | %{
$event = [xml]$_.ToXML()
[pscustomobject]@{'Time'=$_.TimeCreated;'Username'=$event.Event.UserData.EventXML.Param1;'Source-IP'=$event.Event.UserData.EventXML.Param3}
}
