win7或windows server 2008 R2 被远程登录日志记录 系统日志

 

事件查看器 → Windows 日志 → 安全 

（win7 事件查看器 打开方式 ：计算机 右键   → 管理  → 计算机管理 → 系统工具 → 事件查看器 

windows server 2008 R2  事件查看器 打开方式 ：计算机 右键   → 管理  → 服务器管理器 → 诊断 → 事件查看器 ）

在【安全】类型的事件日志页面右侧 选择 【筛选当前日志】，在<所有事件ID>输入框中输入4648，过滤出来的即为计算机的登录信息。接下来就在登录事件中筛选远程登录的日志了。

 

打开事件查看器的快捷方式：在命令行输入：eventvwr