可通过事件查看器查服务端RDP连接日志(事件ID 1149)、注册表查客户端历史记录(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default)、安全日志查登录事件(ID 4624/4625,登录类型10)三途径追溯Windows 11远程桌面连接记录。
如果您在Windows 11系统中需要追溯曾被哪些设备通过远程桌面(RDP)连接过,或想确认某次远程访问是否发生,则需从服务端日志与本地客户端缓存两方面入手。以下是查询已连接远程桌面记录的具体方法:
一、通过事件查看器查询服务端RDP连接历史
该方法可获取所有成功建立的远程桌面连接事件,包含发起连接的IP地址、计算机名、登录时间及用户账户等关键信息,依赖系统自动记录的终端服务日志。
1、按下Win + R组合键,打开“运行”对话框。
2、输入eventvwr.msc并按回车,启动事件查看器。
3、在左侧面板中依次展开:应用程序和服务日志 → Microsoft → Windows → TerminalServices-RemoteConnectionManager。
4、右键单击Operational日志,选择筛选当前日志。
5、在“事件ID”文本框中输入1149,点击“确定”执行筛选。
6、列表中显示的所有条目均为成功建立的远程桌面连接事件;双击任一事件,在“详细信息”选项卡中可查看完整XML数据,其中IpAddress、SubjectUserName和TimeCreated字段即为关键连接凭证。
二、通过注册表查看本地RDP客户端连接历史
该方法用于还原本机作为RDP主控端时曾连接过的远程服务器列表,包括目标主机名或IP地址、保存的凭据标识及连接参数,数据存储于当前用户的注册表配置单元中。
1、按下Win + R组合键,打开“运行”对话框。
2、输入regedit并按回车,启动注册表编辑器。
3、导航至路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default。
4、在右侧窗格中,查找以数字编号命名的字符串值(如MRU0、MRU1等),其数据内容即为最近连接过的远程主机地址。
5、进一步展开子项Servers(位于同一路径下),可查看每个已连接服务器的独立键值,其中UsernameHint和PortNumber等值提供附加连接上下文。
三、通过事件查看器补充查询登录成功/失败事件
若需交叉验证RDP连接是否伴随实际用户身份认证行为,可同步检查安全日志中的登录事件,覆盖成功与失败场景,增强审计完整性。
1、在事件查看器中,展开左侧的Windows 日志节点,右键单击安全日志,选择筛选当前日志。
2、在“事件ID”栏中输入4624,4625(用英文逗号分隔),分别对应登录成功与登录失败事件。
3、在“任务类别”下拉菜单中选择Logon,并在“关键字”中勾选Audit Success和Audit Failure。
4、点击“确定”后,筛选结果中所有登录类型为10(远程交互式登录)的条目,均与RDP会话直接相关;其Workstation Name字段常体现源设备名,Logon Process字段值为User32或Negotiate亦可佐证RDP路径。
