Ip
關機時跟踪 IP 地址登錄 RDP
今天我到了一個客戶的辦公室,Hyper V 伺服器已經關閉。在 Windows 事件日誌中註冊管理員使用者已發送關閉命令。我不是唯一可以訪問該使用者的人。
當請求此命令時,如何從管理員使用者登錄的 IP 中找出(我需要查找什麼事件 ID)?
謝謝。
如果我理解正確,您的問題是“如何找到建立 RDP 連接的 IP?”。
您可以在事件查看器中查看以下日誌:
Application and Services Logs
->Microsoft
->Windows
->Terminal Services-LocalSessionManager
->Operational
,此日誌中的事件 ID 21應該是您要查找的內容。但是,有多種關閉 Windows 的方法…查看
System
事件日誌,源中的事件 ID 1074User32
,它應該為您提供有關誰/什麼啟動了關閉的更多詳細資訊。