前兩天我的一臺Windows Server 2012R2的服務(wù)器中了傳說中的cryptowall病毒，所有數(shù)據(jù)文件都被加密，需要我支付1個比特幣才能解碼。幸好服務(wù)器上沒什么重要的文件，還好我沒錢，我選擇回滾。

接著我開始考慮服務(wù)器安全方面的問題，第一步就是遠(yuǎn)程登錄的登錄記錄問題。

?

一、利用系統(tǒng)日志查看登錄信息

打開控制面板——系統(tǒng)和安全——查看事件日志，就進(jìn)入了事件查看器

打開左側(cè)事件查看器（本地）——Windows日志——安全，就能查看所有安全日志

點擊右側(cè)篩選，篩選事件ID為4776的所有事件，即為所有遠(yuǎn)程登錄日志

可以看到我的日志中有他人登錄，而且他還創(chuàng)建了登錄賬戶User1

?

二、記錄登錄信息

上述查看方法并不能查看到對方的ip，為了查看到ip需要進(jìn)行一些設(shè)置

假設(shè)在C盤RDP文件夾下進(jìn)行操作：

1、創(chuàng)建空文件RDPlog.txt。創(chuàng)建批處理文件RDPlog.bat，寫入代碼

PowerShell date /t >>RDPlog.txt time /t >>RDPlog.txt netstat -n -p tcp | find ":3389" >>RDPlog.txt

1 2 3

date /t >>RDPlog.txt time /t >>RDPlog.txt netstat -n -p tcp | find ":3389" >>RDPlog.txt

2、在管理工具中打開計劃任務(wù)，新建計劃任務(wù)，在觸發(fā)器選項中新建“當(dāng)連接到用戶會話時”，在操作選項中新建操作，設(shè)置程序為C:\RDP\RDPlog.bat，起始于C:\RDP\

這樣在遠(yuǎn)程登錄后就會將登錄的時間和ip記錄在RDPlog.txt文件中。

但是有一個問題，會在登陸后跳出一個一閃而過的cmd窗口，要消除這個窗口，就再新建一個腳本RDPlog.vbs，寫入代碼

PowerShell Set shell = Wscript.Createobject("wscript.shell") Call shell.run("C:\RDP\RDPLog.bat", 0)

1 2	Set shell = Wscript.Createobject("wscript.shell") Call shell.run("C:\RDP\RDPLog.bat", 0)

將計劃任務(wù)程序設(shè)置為C:\RDP\RDPlog.vbs即可，如下

?

試著登錄兩次后結(jié)果如下圖

?

總結(jié)

以上是生活随笔為你收集整理的Windows Server查看和记录远程登录信息的方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。