Me conecto a mi PC del trabajo a través de VPN/RDP y me gustaría encontrar un archivo de registro en mi PC del trabajo que incluya alguna información sobre cuándo lo usé por última vez, desde dónde se originó mi conexión y cuánto tiempo duró. ¿En qué parte de Windows 7 podría buscar eso?
Si miras en el visor de eventos como administrador hay registros del servidor pero no para el login/logout que yo sepa.
Por favor revise el árbol del Visor de Eventos en el lado izquierdo bajo “Registros de Aplicaciones y Servicios -> Windows -> TerminalServices-*” donde * son todos los registros allí. Creo que lo que más le interesa es el registro operacional de TerminalService-LocalSessionManager. El evento ID 21 proporcionará la dirección IP de la conexión entrante.
También hay un nodo “RemoteDesktopServices-RemoteDesktopSessionManager” en el árbol del visor de eventos en el lado izquierdo bajo “Applications and Services Logs -> Windows”. Creo que sólo el rol de administrador puede ver el archivo. Por favor, confirme y hágame saber si esto resuelve su caso de uso.
Tal vez intente esto para el registro de inicio/cierre de sesión también http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/aptopnode.mspx?mfr=true
Busque en ‘Registros de aplicaciones y servicios’ \N - ‘Microsoft’ \N - ‘Windows’ \N - ‘TerminalServices-ClientActiveXCore’ \N - ‘Microsoft-Windows-TerminalServices-RDPClient/Operation’ ,
Este registro tendrá eventos que contienen el nombre del servidor al que el usuario final intentó conectarse con RDP.
No puedo decirle cómo comprobar desde su máquina de trabajo cuando estableció una VPN, ya que presumiblemente no es el servidor VPN (?). Sin embargo, si usted está usando la Conexión de Escritorio Remoto para controlar ese PC de trabajo que may ser capaz de tirar de los tiempos de inicio de sesión / cierre de sesión desde el Visor de Eventos.
Busca en los registros de seguridad. Los inicios de sesión de RDP son un Event ID 4624 pero la búsqueda de 4624 no funcionará. Dentro del evento necesitas que el valor de Logon Type sea “10” y que el valor de SecurityID sea el tuyo. No estoy seguro de cómo filtrarlos…
En tu caso, necesitas revisar los logs TerminalServices-LocalSessionManager y TerminalServices-RemoteConnectionManager de tu ordenador.
También puedes consultar una excelente herramienta de terceros llamada SysKit, antes Terminal Services Log . Te generará todo tipo de informes a partir de los registros y te ahorrará un montón de tiempo si quieres obtener todos los detalles sobre las conexiones RDP y otras cosas.
Por favor, ten en cuenta que estoy afiliado a Acceleratio, los creadores de la herramienta mencionada anteriormente, por lo que puedo ser un poco parcial aquí.
Encontré la información en el Visor de Eventos en Registros de Windows/Seguridad verás en la categoría de tareas eventos de inicio y cierre de sesión.
Utilice el comando quser para mostrar las sesiones.
Entonces verás algo como ID 1 o 2 o 4. Entonces escriba Logoff 4 para cerrar esa sesión.
También puede escribir query session o qwinsta (ambos son lo mismo) Muestra quién está conectado y qué puerto está escuchando, etc.