windows Server 监控远程桌面连接信息

一般管理员在管理服务器时，大部分都会用到微软远程桌面控制mstsc服务，windows 系统自带系统日志：事件查看器（应用程序、安全、setup、系统、转发时间）若其他机器远程到本机，那么系统会在事件查看器--windows日志--安全事件中记录；它却不记录客户端的IP（只能查看在线用户的ip）而是记录计算机名，我们可以建立一个.bat文件，叫做remote.bat，这个文件用来记录登录者的IP。

环境： win10 IP：192.168.0.102  

          server 2008R2 IP：192.168.0.110

现在我们用win10机器远程一下服务器：

 

 

 登录过去后我们进入事件查看器：出现了一个4672的事件ID

 

 

 

此时我们想知道是哪台机器（ip）远程此服务器了，方法如下：

①我们也可以在CMD中执行：netstat -an -p tcp|find ":3389"

 

 

 ②建立一个.bat文件，叫做remote.bat

echo off
date /t >>C:/temp/remote_login.log
time /t >>C:/temp/remote_login.log
echo   协议    本地IP地址            远程IP地址             连接状态 >>C:/temp/remote_login.log
netstat -an -p tcp |find ":3389" >>C:/temp/remote_login.log
start servermanager
echo ================================================================= >>C:/temp/remote_login.log
执行remote.bat文件后效果如下：

 

 

当然我们可以做一个定时任务来监控通过远程连接到此服务器的ip记录：

开始---管理工具----任务计划程序----新建任务

 

 选择触发器标签-新建

 

 确定后选择操作--新建操作

 

 确定后，条件、设置标签默认即可。（根据自己需求设置）

 

 

 

 确定ok

 

 

此时我们从新远程连接，测试任务计划程序是否成功。

我们首先把C:/temp/目录下remote_login.log文件删除，然后在远程：

 

 测试成功！