Aqui falaremos sobre os procedimentos que utilizamos para encontrar os LOGs de quem realizou Logon/Logoff na conexão remota do windows (RDP) no Event Viewer.
Abra o Event Viewer e expanda os diretórios Applications and Services Logs > Windows > TerminalServices-LocalSessionManager.
Clique em Operacional para mostrar os logs de Conexão Remota do Windows (RDP) e filtre as os Eventos de acordo com o que desejar.
Abaixo algumas legendas de ID’s para auxiliar na identificação dos logs:
Event ID 21: Session Logon Succeeded
Event ID 23: Session Logoff Succeeded
Event ID 24: Session Has Been Disconnected
Event ID 25: Session reconnection succeeded
- É importante ressaltar no Event ID 21 além de visualizar o nome do usuário que realizou logon, também é possível descobrir o endereço IP de origem do acesso remoto.
Pronto!
Agora fique a vontade para realizar os filtros e coletar as informações do seu servidor ou desktop.
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.