PowerShell 查询Windows服务器远程登录记录 – 知识箱 - IT知识收集箱

PowerShell 查询Windows服务器远程登录记录

2024.12.17 Windows 0 评论已关闭 593

环境

Windows Server 2012 以上，目的只是查询windows server 远程登录的记录
日期时间，登录IP ，登录的用户。

方法

使用管理员打开Powershell 运行一下脚本（来自 Chatgpt）

# 查询远程桌面登录的成功事件并提取详细信息
Get-WinEvent -LogName Security -FilterXPath "*[System[(EventID=4624)] and EventData[Data[@Name='LogonType'] and (Data='10')]]" | 
ForEach-Object {
    # 解析事件详细信息
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated   = $_.TimeCreated
        AccountName   = $xml.Event.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' } | Select-Object -ExpandProperty '#text'
        SourceIP      = $xml.Event.EventData.Data | Where-Object { $_.Name -eq 'IpAddress' } | Select-Object -ExpandProperty '#text'
        LogonType     = $xml.Event.EventData.Data | Where-Object { $_.Name -eq 'LogonType' } | Select-Object -ExpandProperty '#text'
    }
} | Format-Table -AutoSize

输出说明

TimeCreated：登录事件发生的时间。
AccountName：登录成功的账户名称。
SourceIP：远程桌面连接的来源 IP 地址。
LogonType：登录类型（值 10 表示远程桌面连接）。

结果示例

解决问题关键

XML 解析：事件日志中的关键信息（如 IP 地址、账户名）存储在 XML 数据中，需要手动提取。
LogonType = 10：代表远程桌面连接，筛选时需特别指定。
定制输出：通过 PSCustomObject 格式化输出，更易于阅读。

转载原创文章请注明，转载自: 知识箱 - PowerShell 查询Windows服务器远程登录记录 (https://www.kmsbox.com/os/windows/771.html)

「为支持站点成本，本站接受打赏，接受咨询和远程支持微：spikecai」

支付宝支付

微信支付

赞赏

上一篇: 录音笔推荐

下一篇: 安装Windows10原版找不到驱动器

评论已经关闭