windows-server-2008-r2 – 远程桌面服务登录历史记录

发布时间：2020-12-13 23:12:11 所属栏目：Windows 来源：网络整理

导读：是否可以生成过去用户登录到 Windows Server 2008远程桌面服务服务器的报告？我能找到的最接近的事件查看器日志位于应用程序和服务日志下 – 微软 – Windows – TerminalServices-RemoteConnectionManager.这些日志很好,但是您无法显示每个登录事件的用户

是否可以生成过去用户登录到 Windows Server 2008远程桌面服务服务器的报告？

我能找到的最接近的事件查看器日志位于应用程序和服务日志下 – >微软 – > Windows – > TerminalServices-RemoteConnectionManager.这些日志很好,但是您无法显示每个登录事件的用户帐户(事件ID 1149).

有什么想法吗？

您可以使用脚本来收集此信息.不那么理想/简单,但它将完成工作.这是一个Powershell脚本,可以在Windows 7 / Server 2008r2或更高版本上运行(这个代码可以在更新的Powershell版本上进一步清理,但我保持原样以便向后兼容)：

$LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
$Results = @()
$Events = Get-WinEvent -LogName $LogName
foreach ($Event in $Events) {
    $EventXml = [xml]$Event.ToXML()

    $ResultHash = @{
        Time        = $Event.TimeCreated.ToString()
        'Event ID'  = $Event.Id
        'Desc'      = ($Event.Message -split "`n")[0]
        Username    = $EventXml.Event.UserData.EventXML.User
        'Source IP' = $EventXml.Event.UserData.EventXML.Address
        'Details'   = $Event.Message
    }

    $Results += (New-Object PSObject -Property $ResultHash)
}

$Results | Export-Csv 'Remote Desktop Users.csv'

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!