在RDP会话Windows server 2012中查找用户断开连接的时间
我们有一个开发机器池,开发人员通过RDP登录,通常不注销,只是断开连接。作为本地管理员,我可以强制注销,但我想检查用户何时断开连接 在任务管理器中,我只能看到用户名及其状态在RDP会话Windows server 2012中查找用户断开连接的时间,windows,powershell,cmd,taskmanager,Windows,Powershell,Cmd,Taskmanager,我们有一个开发机器池,开发人员通过RDP登录,通常不注销,只是断开连接。作为本地管理员,我可以强制注销,但我想检查用户何时断开连接 在任务管理器中,我只能看到用户名及其状态 是否有办法发现用户何时使用任务管理器、powershell、cmd或其他工具断开连接?开始-->运行-->事件VWR-->Windows日志-->安全性。按“任务类别=注销”筛选您可以启动Windows事件查看器并在Windows日志-->安全性下进行检查。按'Task Category=Logoff'筛选 您可以将其导出
是否有办法发现用户何时使用任务管理器、powershell、cmd或其他工具断开连接?开始-->运行-->事件VWR-->Windows日志-->安全性。按“任务类别=注销”筛选您可以启动Windows事件查看器并在
Windows日志-->安全性下进行检查。按'Task Category=Logoff'
筛选
您可以将其导出为xml以便于阅读
据我所知,这不在安全日志中。要查找的正确位置是在Microsoft事件查看器中应用程序和服务日志=>Microsoft=>Windows=>TerminalServices LocalSessionManager=>Operational
下,然后在Operational日志下
要查找的eventID是ID24(断开连接的用户会话)。EventID 25是重新连接。您可以使用windows命令查询用户用户名/server:ServerName或者只需输入查询用户/server:ServerName即可查找所有活动或断开的会话
以下是示例输出,出于隐私考虑,我模糊了我的信息:
我还创建了一个PowerShell脚本来自动执行此任务,下面是链接,为什么不编辑以前的答案并将其包括在内,而不是发布两个答案(相同)?好的,答案几乎正确,当然我找不到注销,因为他没有注销,只是断开了连接。无论如何,我找不到任何详细信息,我的安全日志历史记录太短。注销与RDP中的断开连接完全不同。太好了,谢谢!我修正了路径,它是不完整的。从这个角度看,我只能找到真正的用户连接,这正是我所寻找的