ZALOGUJ

    Jak przeglądać dzienniki połączeń RDP w systemie Windows Server 2016, 2019

    Jak dowiedzieć się, kto podłączył się do konkretnego serwera za pomocą RDP.



    Korzystając z dzienników systemowych systemu Windows, możesz uzyskać informacje o tym, z jakich adresów IP i jakie użytkownicy podłączyli się do serwera wirtualnego i kiedy to nastąpiło.

    Poniższe instrukcje można również stosować w wersjach desktopowych systemu Windows.

    Przeanalizujmy kilka najczęściej spotykanych kodów zdarzeń związanymi z rozpoczęciem i zakończeniem pracy serwera.

    1149: Obecność tego kodu oznacza pomyślną autentykację użytkownika na serwerze. (Usługi Pulpitu Zdalnego: Udane uwierzytelnienie użytkownika)
    21: Ten kod oznacza pomyślne zalogowanie do systemu, co oznacza, że użytkownik zobaczył okno pulpitu. (Usługi Pulpitu Zdalnego: Udana sesja logowania)
    24: To wydarzenie oznacza pomyślne rozłączenie z RDP (Usługi Pulpitu Zdalnego: Sesja została rozłączona)
    25: Informuje o ponownym podłączeniu do sesji RDP. (Usługi Pulpitu Zdalnego: Ponowne połączenie sesji)
    23: Użytkownik nacisnął "Wyloguj" i opuścił system (Usługi Pulpitu Zdalnego: Wylogowanie sesji zakończone sukcesem)
    39: Użytkownik samodzielnie rozłączył się z sesji RDP (nie tylko zamknął okno RDP). Albo został odłączony przez innego użytkownika lub administratora.


     

    Jak przeglądać te zdarzenia?

     

    Naciśnij klawisze Win+R i wpisz eventvwr

     

     


    W lewej części panelu otwórz "Dzienniki systemowe => System"

     

     

     

     


    W kolumnie "ID zdarzenia" zobaczymy listę zdarzeń, które miały miejsce podczas pracy z systemem Windows. Dziennik zdarzeń można sortować według identyfikatora zdarzenia.

    Aby posortować potrzebne zdarzenia, po prawej stronie wybierz "Filtr bieżącego dziennika"

     

     

     

     


    Teraz wprowadź potrzebne zdarzenia, oddzielając je przecinkami, 1149,39,25,24,23,21, i naciśnij OK
     

    Teraz możemy śledzić dziennik zdarzeń związanego z działaniem naszego serwera VPS.

    Te zdarzenia można znaleźć w różnych sekcjach. Na przykład:

    ID zdarzenia 1149,4624,4625 - sortuj w dziennikach systemowych => Bezpieczeństwo

    ID zdarzenia 25,24,21,39 - sortuj w dziennikach użytkownika i usług => Microsoft => Windows => TerminalServices-LocalSessionManager => Operacje

    ID zdarzenia 23 - sortuj w dziennikach użytkownika i usług => Microsoft => Windows => TerminalServices-LocalSessionManager => Operacje

    Teraz możesz samodzielnie sprawdzić, kto i kiedy zalogował się za pomocą RDP do swojego serwera.