Jak dowiedzieć się, kto podłączył się do konkretnego serwera za pomocą RDP.
Korzystając z dzienników systemowych systemu Windows, możesz uzyskać informacje o tym, z jakich adresów IP i jakie użytkownicy podłączyli się do serwera wirtualnego i kiedy to nastąpiło.
Poniższe instrukcje można również stosować w wersjach desktopowych systemu Windows.
Przeanalizujmy kilka najczęściej spotykanych kodów zdarzeń związanymi z rozpoczęciem i zakończeniem pracy serwera.
1149: Obecność tego kodu oznacza pomyślną autentykację użytkownika na serwerze. (Usługi Pulpitu Zdalnego: Udane uwierzytelnienie użytkownika)
21: Ten kod oznacza pomyślne zalogowanie do systemu, co oznacza, że użytkownik zobaczył okno pulpitu. (Usługi Pulpitu Zdalnego: Udana sesja logowania)
24: To wydarzenie oznacza pomyślne rozłączenie z RDP (Usługi Pulpitu Zdalnego: Sesja została rozłączona)
25: Informuje o ponownym podłączeniu do sesji RDP. (Usługi Pulpitu Zdalnego: Ponowne połączenie sesji)
23: Użytkownik nacisnął "Wyloguj" i opuścił system (Usługi Pulpitu Zdalnego: Wylogowanie sesji zakończone sukcesem)
39: Użytkownik samodzielnie rozłączył się z sesji RDP (nie tylko zamknął okno RDP). Albo został odłączony przez innego użytkownika lub administratora.
Jak przeglądać te zdarzenia?
Naciśnij klawisze Win+R i wpisz eventvwr
W lewej części panelu otwórz "Dzienniki systemowe => System"
W kolumnie "ID zdarzenia" zobaczymy listę zdarzeń, które miały miejsce podczas pracy z systemem Windows. Dziennik zdarzeń można sortować według identyfikatora zdarzenia.
Aby posortować potrzebne zdarzenia, po prawej stronie wybierz "Filtr bieżącego dziennika"
Teraz wprowadź potrzebne zdarzenia, oddzielając je przecinkami, 1149,39,25,24,23,21, i naciśnij OK
Teraz możemy śledzić dziennik zdarzeń związanego z działaniem naszego serwera VPS.
Te zdarzenia można znaleźć w różnych sekcjach. Na przykład:
ID zdarzenia 1149,4624,4625 - sortuj w dziennikach systemowych => Bezpieczeństwo
ID zdarzenia 25,24,21,39 - sortuj w dziennikach użytkownika i usług => Microsoft => Windows => TerminalServices-LocalSessionManager => Operacje
ID zdarzenia 23 - sortuj w dziennikach użytkownika i usług => Microsoft => Windows => TerminalServices-LocalSessionManager => Operacje
Teraz możesz samodzielnie sprawdzić, kto i kiedy zalogował się za pomocą RDP do swojego serwera.