Je me connecte à mon PC de travail via VPN/RDP et je voudrais trouver un fichier journal sur mon PC de travail qui contiendrait des informations sur la date de dernière utilisation, l'origine de ma connexion et sa durée. Où dois-je chercher dans Windows 7 pour trouver ces informations ?
Si vous regardez l'observateur d'événements en tant qu'administrateur, il y a des journaux de serveur mais pas pour la connexion/déconnexion, pour autant que je sache.
Veuillez vérifier l'arbre de l'observateur d'événements sur le côté gauche sous “Applications and Services Logs -> Windows -> TerminalServices-*” où * se trouve l'ensemble des journaux. Je pense que vous êtes plus intéressé par le journal opérationnel de TerminalService-LocalSessionManager. L'ID d'événement 21 fournira l'adresse IP de la connexion entrante.
Il y a également un nœud “RemoteDesktopServices-RemoteDesktopSessionManager” dans l'arbre de visualisation des événements sur le côté gauche sous “Applications and Services Logs -> Windows”. Seul le rôle d'administrateur est autorisé à visualiser le fichier je crois. Veuillez me confirmer et me faire savoir si cela correspond à votre cas d'utilisation.
Peut-être essayez-vous aussi ceci pour la connexion/déconnexion http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Regardez sous “Application and Services Logs” > “Microsoft” > “Windows” > “TerminalServices-ClientActiveXCore” > “Microsoft-Windows-TerminalServices-RDPClient/Operation” ,
Ce journal contiendra des événements contenant le nom du serveur auquel l'utilisateur final a tenté de se connecter.
Je ne peux pas vous dire comment vérifier à partir de votre machine de travail lorsque vous avez établi un VPN car il ne s'agit probablement pas du serveur VPN ( ?). Cependant, si vous utilisez une connexion à distance pour contrôler votre PC de travail, vous pourrez peut-être obtenir les heures de connexion et de déconnexion dans l'observateur d'événements.
Regardez dans les journaux de sécurité pour les connaître. Les connexions RDP sont des Event ID 4624 mais la simple recherche de 4624 ne fonctionnera pas. Dans l'événement, la valeur du type de connexion doit être “10” et la valeur du SecurityID doit être la vôtre. Vous ne savez pas comment filtrer ces…
Dans votre cas, vous devez examiner les journaux TerminalServices-LocalSessionManager et TerminalServices-RemoteConnectionManager de votre ordinateur.
Vous pouvez également consulter un excellent outil tiers appelé SysKit, anciennement Terminal Services Log . Il vous permettra de générer toutes sortes de rapports à partir des journaux et vous fera gagner beaucoup de temps si vous souhaitez obtenir tous les détails sur les connexions RDP et autres.
Veuillez noter : Je suis affilié à Acceleratio, le fabricant de l'outil mentionné ci-dessus, donc je pourrais être un peu partial ici.
J'ai trouvé les informations dans l'Event Viewer sous Windows Logs/Security que vous verrez sous la catégorie de tâche “événements de connexion et de déconnexion”.
Utilisez la commande quser pour afficher les sessions.
Ensuite, vous verrez quelque chose comme ID 1 ou 2 ou 4. Tapez ensuite Logoff 4 pour vous déconnecter de cette session.
Vous pouvez aussi taper query session ou qwinsta (les deux sont la même chose) Afficher qui est en ligne et quel port est en écoute, etc.