Gerade bei einem Server oder bei einem Terminal-Server kann es schon mal interessant sein, wer sich da denn zuletzt am System angemeldet hat. Die Suche im Log kann da sehr aufwendig sein, doch mit der Powershell bekommt man sehr schnell einen guten Überblick über die letzten RDP Sessions. Die Abfrage dazu ist nicht ohne, aber zum Glück gibt es ja Copy und Paste!
Öffnet hierzu die Powershell mit Administrator Rechten und gebt dort folgende Zeile ein:
Get-WinEvent -Logname 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-TerminalServices-RemoteConnectionManager'] and (EventID=1149)]]" | %{ $event = [xml]$_.ToXML() [pscustomobject]@{'Time'=$_.TimeCreated;'Username'=$event.Event.UserData.EventXML.Param1;'Source-IP'=$event.Event.UserData.EventXML.Param3} }
Das ganze mit „Enter“ bestätigen und schon bekommt ihr eine brauchbare Übersicht mit
– Datum der Anmeldung
– dem Anmeldezeitpunkt
– dem Anmeldenamen
– und der IP Adresse
angezeigt.
Ich würde sagen, dies reicht aus, um mal schnell einen guten Überblick zu den letzten RDP Sessions zu bekommen.