close
要查看 Windows 的紀錄要看事件檢視器 「執行指令:eventvwr.msc 」,如果想看登入資訊可以透過路徑在 電腦管理 -> 系統工具 -> 事件檢視器 -> Windows 紀錄 -> 安全性 查看,你會發現怎麼被記錄「登入」的次數超多,哪個才是遠端登入 RDP 的紀錄呢?
隨便點一個「登入」的紀錄來看,會得到,類似底下的紀錄
# 如何判斷遠端桌面呢?
其實重點就在這張表,這張說明了「登入類型」代碼的含意 https://technet.microsoft.com/zh-tw/library/cc787567(v=ws.10).aspx
2:使用者登入這部電腦:互動 使用者已登入這部電腦。
3:從網路登入:網路 使用者或電腦從網路登入這部電腦。
7:輸入密碼登入:解除鎖定 此工作站已解除鎖定。
10:遠端登入:RemoteInteractive 使用者使用 [終端機服務] 或 [遠端桌面] 從遠端登入這部電腦。
所以當遠端登入到 Windows 時,在「登入事件」依序會產生登入類型 認證嘗試登入 -> 10
會得到類似底下的詳細資訊
篩選所有遠端登入的事件
點選「篩選目前的紀錄」
遠端登入的事件代碼為「4624」,在下圖框內填入並按下確定就可以找出所有的遠端登入事件。
~End
本篇文章引用自此: https://blog.xuite.net/tolarku/blog/544578900-%E6%9F%A5%E7%9C%8B+Windows+%E6%98%AF%E5%90%A6%E6%9C%89
全站熱搜
留言列表
