Що таке ідентифікатор події журналу віддаленого робочого стола?

Подія підключення rdp також пов’язана з автентифікацією. У цьому випадку ви повинні розгорнути на консолі перегляду подій Шлях безпеки під журналами Windows. Ідентифікатор події є 4624. Для багатьох подій автентифікації потрібно попередньо активувати розширені журнали аудиту, які за замовчуванням вимкнено.

Ідентифікатор події 4624 (переглядається в засобі перегляду подій Windows) документує кожну успішну спробу входу на локальний комп’ютер. Ця подія генерується на комп’ютері, до якого було здійснено доступ, іншими словами, на якому було створено сеанс входу. Пов'язана подія, Документи з ідентифікатором події 4625 не вдалося ввійти.

Командлет Get-EventLog отримує події та журнали подій із локальних і віддалених комп’ютерів. За замовчуванням Get-EventLog отримує журнали з локального комп’ютера. Щоб отримати журнали з віддалених комп’ютерів, використовуйте параметр ComputerName. Для пошуку подій можна використовувати параметри Get-EventLog і значення властивостей.

Подія ID 1149 не вказує на успішну автентифікацію користувача; швидше це вказує на успішну автентифікацію мережі, тобто мережеве з’єднання RDP із цільовою машиною було успішно встановлено, і що цільова машина успішно відповіла, відобразивши вікно входу для наступного кроку введення …

Ідентифікатор події 4624: ця подія вказує на успішний вхід. Він реєструє ім’я облікового запису та час входу. Відстежуючи цю подію, ви можете бачити, коли та як часто обліковий запис використовується. Подія ID 4625: ця подія вказує на невдалу спробу входу.