گزارش از کاربران Login کرده به ویندوز

کامپیوتر هایی که در مکانهایی مثل شرکت ها و سازمان ها قرار دارند همیشه در خطر این هستند که در نبود کاربر اون سیستم، توسط اشخاص دیگه ای مورد استفاده قرار بگیرند. این استفاده میتونه بصورت مستقیم و Local باشه و یا اینکه از طریق اتصال Remote.

برای بدست آوردن تاریخچه ورود کاربران به ویندوز باید از ابزار Event Viewer ویندوز استفاده کرد.

اجرا کردن Event Viewer به چند طریق ممکنه که کوتاه ترین روش استفاده از جعبه Run هست. فقط کافیه عبارت Eventvwr رو تایپ کنید و Enter کنید. بعد به این دو مسیر برید:

Apploications and Services Logs > Microsoft > Windows >  TerminalServices-LocalSessionManager

Apploications and Services Logs > Microsoft > Windows >  TerminalServices-RemoteConnectionManager

همونطوری که از اسامی این پوشه ها مشخصه، پوشه اول حاوی گزارشات ورود Local و پوشه دوم برای ورود از راه دور و یا Remotely هست.

با کلیک بر روی گزینه Operational لیستی از گزارشات در سمت راست صفحه مشاهده میشه. هر عملیاتی دارای یک Event ID منحصر به خودشه که پیدا کردن Event های مشابه اون رو برای ما راحت میکنه. با کلیک بر روی هر Event در کادر وسط صفحه اطلاعات کاربر وارد شده به سیستم نمایش داده میشه. در قسمت  RemoteConnectionManager علاوه بر نام کاربر، IP کامپیوتر مقصد هم ذکر میشه.

اگر قصد دارید که از ثبت این گزارشات در ویندوز جلوگیری گنید بر روی گزینه Operational راست کلیک کنید و گزینه Properties رو کلیک کنید. در صفحه باز شده گزینه Enable Logging رو Uncheck کنید.

نکته: Event ID مربوط به Local Login عدد ۴۱ هست و Event ID مربوط به Remote Login عدد ۱۱۴۹ .

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *