在 RDP 会话 Windows 服务器 2012 中查找用户断开连接时间
find user disconnection time in RDP session Windows server 2012
我们有一个开发机器池,开发人员可以在其中通过 RDP 登录,通常他们不会注销,只是断开连接。作为本地管理员,我可以强制注销,但我想检查用户何时断开连接。
在任务管理器中我只能看到用户名及其状态
有没有办法发现用户何时使用任务管理器、powershell、cmd 或其他工具断开连接?
开始-->运行-->Eventvwr-->Windows日志-->安全。按 'Task Category = Logoff'
过滤
您可以启动 Windows 事件查看器并在 Windows logs --> Security 下查看。按 'Task Category = Logoff'.
筛选
您可以将其导出到 xml 以便于阅读。
据我所知,这不在安全日志中。正确的查找位置是在 Applications and Services Logs => Microsoft => Windows => TerminalServices-LocalSessionManager => Operational 下的 Microsoft Event Viewer 中,然后在操作日志下。
要查找的事件 ID 是 ID24(断开连接的用户会话)。 EventID 25 是重新连接。
可以使用windows命令查询用户UserName /server:ServerName 或者您可以只输入 query user /server:ServerName 以找出所有活动或断开连接的会话。
下面是示例输出,为了隐私我已经模糊了我的信息:
我还创建了一个 PowerShell 脚本来自动执行此任务,这里是 link
我们有一个开发机器池,开发人员可以在其中通过 RDP 登录,通常他们不会注销,只是断开连接。作为本地管理员,我可以强制注销,但我想检查用户何时断开连接。
在任务管理器中我只能看到用户名及其状态
有没有办法发现用户何时使用任务管理器、powershell、cmd 或其他工具断开连接?
开始-->运行-->Eventvwr-->Windows日志-->安全。按 'Task Category = Logoff'
过滤您可以启动 Windows 事件查看器并在 Windows logs --> Security 下查看。按 'Task Category = Logoff'.
您可以将其导出到 xml 以便于阅读。
据我所知,这不在安全日志中。正确的查找位置是在 Applications and Services Logs => Microsoft => Windows => TerminalServices-LocalSessionManager => Operational 下的 Microsoft Event Viewer 中,然后在操作日志下。
要查找的事件 ID 是 ID24(断开连接的用户会话)。 EventID 25 是重新连接。
可以使用windows命令查询用户UserName /server:ServerName 或者您可以只输入 query user /server:ServerName 以找出所有活动或断开连接的会话。
下面是示例输出,为了隐私我已经模糊了我的信息:
我还创建了一个 PowerShell 脚本来自动执行此任务,这里是 link