是否可以生成过去用户登录到
Windows Server 2008远程桌面服务服务器的报告?
我能找到的最接近的事件查看器日志位于应用程序和服务日志下 – >微软 – > Windows – > TerminalServices-RemoteConnectionManager.这些日志很好,但是您无法显示每个登录事件的用户帐户(事件ID 1149).
有什么想法吗?
您可以使用脚本来收集此信息.不那么理想/简单,但它将完成工作.这是一个Powershell脚本,可以在Windows 7 / Server 2008r2或更高版本上运行(这个代码可以在更新的Powershell版本上进一步清理,但我保持原样以便向后兼容):
原文链接:https://www.f2er.com/windows/366174.html$LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
$Results = @()
$Events = Get-WinEvent -LogName $LogName
foreach ($Event in $Events) {
$EventXml = [xml]$Event.ToXML()
$ResultHash = @{
Time = $Event.TimeCreated.ToString()
'Event ID' = $Event.Id
'Desc' = ($Event.Message -split "`n")[0]
Username = $EventXml.Event.UserData.EventXML.User
'Source IP' = $EventXml.Event.UserData.EventXML.Address
'Details' = $Event.Message
}
$Results += (New-Object PSObject -Property $ResultHash)
}
$Results | Export-Csv 'Remote Desktop Users.csv'
