Event log of Windows Terminal Services connections

Facebooktwittermail

ちょっと気になることがありWindows Terminal Servicesの接続イベントログを調べてみました。
記録内容としては接続元IPとログインユーザー名が記録されるだけですが、それでも接続元IPから不審なものが無いか確認できると思います。

確認したのはWindows Server 2012 R2 評価版です。

場所はイベントビューアーから[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[TerminalServices-RemoteConnectionManager]-[Operational]EVENT ID 1149でした。


カスタムビューを作成しておけば簡単に確認できるし、バッチで抽出もできます。


期間を区切っていないですがwevtutil.exeのquery XMLです。

wevtutil.exeについては下記を参照して下さい。

wevtutil.exe command (Windows Event Log)

Leave a Reply