前兩天我的一臺Windows Server 2012R2的服務器中了傳說中的cryptowall病毒，所有數據文件都被加密，需要我支付1個比特幣才能解碼。幸好服務器上沒什么重要的文件，還好我沒錢，我選擇回滾。

接著我開始考慮服務器安全方面的問題，第一步就是遠程登錄的登錄記錄問題。

?

一、利用系統日志查看登錄信息

打開控制面板——系統和安全——查看事件日志，就進入了事件查看器

打開左側事件查看器（本地）——Windows日志——安全，就能查看所有安全日志

點擊右側篩選，篩選事件ID為4776的所有事件，即為所有遠程登錄日志

可以看到我的日志中有他人登錄，而且他還創建了登錄賬戶User1

?

二、記錄登錄信息

上述查看方法并不能查看到對方的ip，為了查看到ip需要進行一些設置

假設在C盤RDP文件夾下進行操作：

1、創建空文件RDPlog.txt。創建批處理文件RDPlog.bat，寫入代碼

PowerShell date /t >>RDPlog.txt time /t >>RDPlog.txt netstat -n -p tcp | find ":3389" >>RDPlog.txt

1 2 3

date /t >>RDPlog.txt time /t >>RDPlog.txt netstat -n -p tcp | find ":3389" >>RDPlog.txt

2、在管理工具中打開計劃任務，新建計劃任務，在觸發器選項中新建“當連接到用戶會話時”，在操作選項中新建操作，設置程序為C:\RDP\RDPlog.bat，起始于C:\RDP\

這樣在遠程登錄后就會將登錄的時間和ip記錄在RDPlog.txt文件中。

但是有一個問題，會在登陸后跳出一個一閃而過的cmd窗口，要消除這個窗口，就再新建一個腳本RDPlog.vbs，寫入代碼

PowerShell Set shell = Wscript.Createobject("wscript.shell") Call shell.run("C:\RDP\RDPLog.bat", 0)

1 2	Set shell = Wscript.Createobject("wscript.shell") Call shell.run("C:\RDP\RDPLog.bat", 0)

將計劃任務程序設置為C:\RDP\RDPlog.vbs即可，如下

?

試著登錄兩次后結果如下圖

?

總結

以上是生活随笔為你收集整理的Windows Server查看和记录远程登录信息的方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。