在RDP会话Windows server 2012中查找用户断开连接的时间

我们有一个开发机器池，开发人员通过RDP登录，通常不注销，只是断开连接。作为本地管理员，我可以强制注销，但我想检查用户何时断开连接

在任务管理器中，我只能看到用户名及其状态

---

是否有办法发现用户何时使用任务管理器、powershell、cmd或其他工具断开连接？

开始-->运行-->事件VWR-->Windows日志-->安全性。按“任务类别=注销”筛选您可以启动Windows事件查看器并在

Windows日志-->安全性下进行检查。按
'Task Category=Logoff'
筛选

您可以将其导出为xml以便于阅读

据我所知，这不在安全日志中。要查找的正确位置是在
Microsoft事件查看器中
应用程序和服务日志=>Microsoft=>Windows=>TerminalServices LocalSessionManager=>Operational
下，然后在Operational日志下

要查找的eventID是ID24（断开连接的用户会话）。EventID 25是重新连接。
您可以使用windows命令查询用户用户名/server:ServerName或者只需输入查询用户/server:ServerName即可查找所有活动或断开的会话

以下是示例输出，出于隐私考虑，我模糊了我的信息：


我还创建了一个PowerShell脚本来自动执行此任务，下面是链接
，为什么不编辑以前的答案并将其包括在内，而不是发布两个答案（相同）？好的，答案几乎正确，当然我找不到注销，因为他没有注销，只是断开了连接。无论如何，我找不到任何详细信息，我的安全日志历史记录太短。注销与RDP中的断开连接完全不同。太好了，谢谢！我修正了路径，它是不完整的。从这个角度看，我只能找到真正的用户连接，这正是我所寻找的