Windows服务器远程登录日志查询方法，linux查看登录日志方法

Posted 2023-04-06

参考技术A

概述
本文介绍Windows、Linux服务器查询系统的远程登录日志方法。

根据服务器所使用的操作系统不同，有以下两种查询方法。

Linux操作系统的登录日志查询
通过远程连接登录Linux服务器，使用root用户执行last命令，系统会列出最近的登录记录。

注：last命令各输出列作用及含义。
· 第一列：用户名。
· 第二列：终端位置。pts/0 （伪终端）指 ssh命令或telnet命令远程连接用户，tty指本地连接用户。
· 第三列：登录IP或者内核 。0.0或无内容，表示用户从本地终端连接。除重启操作，内核版本会显示在状态中。
· 第四列：开始时间。
· 第五列：结束时间（still logged in 状态：用户未退出，down 状态：直到正常关机，crash 状态：直到强制关机）。
· 第六列：持续时间。

Windows操作系统的登录日志查询
1、通过远程连接登录Windows服务器，单击 开始 > 运行（快捷键：win+R），输入eventvwr.msc并单击键盘的 Enter 回车按键，打开 事件查看器。

2、单击 Windows 日志，选中 安全 并右击，单击 查找，打开 查找 框。

3、在 查找内容（N） 处，输入“登录” 进行快速查找登录相关事件。

4、双击查找到的事件，单击 详细信息，查看 IpAddress 字段和 IpPort 字段信息。
注：
· IpAddress 字段记录的是登录过本机的IP地址。
· IpPort 字段记录的是登录过本机的端口

通过cmd脚本记录Windows远程桌面用户登录日志

@echo off

if "%1" == "h" goto begin 
　　mshta vbscript:createobject("wscript.shell").run("%~nx0 h",0)(window.close)&&exit 
:begin 

set port=3389
set checkInterval=2

set prev=""

:loop

set curr=

for /f "delims=" %%i in (‘netstat -n -p tcp ^|find ^":%port%^"‘) do (set curr=%%i)

if not "%curr%"=="%prev%" (

   set prev=%curr%

   date /t >>RDPlog.txt

   time /t >>RDPlog.txt

   echo %curr% >>RDPlog.txt 
) 

ping -n %checkInterval% 127.1>nul 

goto :loop

远程桌面服务端口(port)为3389；

目前轮询频率(checkInterval)设置为2秒；

脚本运行后在后台，看不到Console窗口，当检测服务端口连接状态有变化时，会把时间和对方IP记录到RDPlog.txt中。

脚本设置为开机自启动就行了。

本文出自 “zl1030的记录” 博客，请务必保留此出处http://zl1030.blog.51cto.com/274507/1925247