網上有很多相關內容介紹,親測以下方法有效:
1、建立一個名為rdp.bat的批處理文件,內容為:
date /t >> C:\123\rdplog.txt
time /t >> C:\123\rdplog.txt
netstat -an | find ":3389" | find "ESTABLISHED" >> C:\123\rdplog.txt
2、運行->gpedit.msc->計算機配置->window設置->安全設置->本地策略->審核策略->審核用戶登錄事件
在窗口內勾選審核操作,成功和失敗。
注:很多網上內容中沒有這一步導致無法記錄憑據驗證事件。
3、(1)打開事件查看器--Windows日志--安全,找到任務類別為登錄的事件(事件ID為4624),點擊鼠標右鍵,點“將任務附加到此事件”。按提示選擇三次下一步(均用默認值即可),在啟動程序頁中選擇前面建立的rdp.bat文件,下一步,到完成即可。
(2)現把任務類別為憑據驗證的事件(事件ID為4776),也增加啟動程序。方法同上。