Möchte man wissen, wer sich wann an einem Remotedesktop Server (RDP) angemeldet hat, kann das wie folgt tun:
Bei aktiver Verbindung:
netstat -n | find ":3389" | find "ESTABLISHED"
Möchte man eine „schöne“ Log-Datei, kann das Batch Script im Zusammenhang mit dem Aufgabenplaner (und der suche nach EventID 4264) benutzt werden:
SET logfile="rdp_ip_logs.log" date /T>>%logfile% time /T>>%logfile% netstat -n | find ":3389" | find "ESTABLISHED">>%logfile%
Alternativ einfach in das Ereignisslog schauen:
Computer Verwaltung > Ereignisanzeige > Windows-Protokolle > Sicherheit > Aktuelles Protokoll filtern nach EventID 4264. Dort finden man dann unter „Quellnetzwerkadresse“ die IP!