【取证】Windows怎么查看远程桌面连接历史记录？

如何查看远程桌面连接历史记录？

通过事件查看器查看记录

1.要查看远程桌面连接历史记录，我们可以通过事件查看器进行查看，在事件查看器中可以查询到远程桌面连接的详细信息，包括远程IP地址、计算机名、登录时间等。远程桌面的相关事件主要记录在事件日志文件Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx中事件ID：1149和事件日志文件Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx中事件ID：24、25中。

两个文件的都在：C:\Windows\System32\winevt\Logs\目录下

• 事件ID：1149：远程桌面服务: 用户身份验证已成功:

• 事件ID：24：远程桌面服务: 会话已断开连接:

• 事件ID：25：远程桌面服务: 会话重新连接成功:

步骤1. 使用仿真或磁盘挂载的方式加载镜像，访问镜像文件系统盘目录下的C:\Windows\System32\winevt\Logs\，将Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx和Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx拷贝至本机电脑，直接双击会使用事件查看器打开。

步骤2. 点击右侧菜单中的“筛选当前日志”。

步骤3. Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx事件日志中远程桌面服务的事件ID是1149，然后输入1149过滤日志，在Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx则是过滤事件ID：24、25。

步骤4. 然后，您将获得一个事件列表，其中包含与该服务器的所有远程桌面连接的历史记录。点击记录，即可看到远程桌面连接的详细信息，包括IP地址、计算机名、登录时间等。