<p>本地安全策略里面开启：审核登录事件<br/><br/>测试一：<br/>用终端服务的方式登录服务器，并正常注销退出，查看安全审核的日志记录如下：<br/>　<br/>登录成功:<br/>用户名: Administrator<br/>域: ABUSERVER<br/><br/>登录 ID: (0x0,0x1D0B52)<br/>登录类型: 2<br/>登录过程: User32<br/>身份验证程序包: Negotiate<br/>工作站名: ABUSERVER<br/><br/><br/>　<br/>用户注销:<br/>用户名: Administrator<br/>域: ABUSERVER<br/><br/>登录 ID: (0x0,0x1D0B52)<br/>登录类型: 2<br/>很奇怪吧，因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时<br/>纪录的工作站名: ABUSERVER （这不是服务器的名字嘛）<br/><br/>测试二：<br/>正常登录上服务器以后，选择断开，临时中断当前会话，然后再次使用客户端连接上服务器，在安全日志里<br/>出现了以下记录：<br/><br/>　<br/>会话从 winstation 中断连接:<br/>用户名: administrator<br/>域: ABUSERVER<br/>登录 ID: (0x0,0x1D0B52)<br/>会话名称: Unknown<br/>客户端名: ABUPC13<br/>客户端地址: 192.168.0.13<br/>　<br/>会话被重新连接到 winstation:<br/>用户名: administrator<br/>域: ABUSERVER<br/>登录 ID: (0x0,0x1BE7BA)<br/>会话名称: RDP-Tcp#7<br/>客户端名: ABUPC13<br/>客户端地址: 192.168.0.13<br/><br/>这次，自己客户机名以及当时的IP都被记录下来了。<br/>测试三：<br/><br/>正常连接服务器，输入错误的密码，再输入到第6次(缺省安全配置情况下）终端服务窗口关闭。<br/><br/>重新连接登录后，检查日志出现以下纪录：<br/><br/>在系统日志里：<br/><br/>来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。<br/><br/>在安全日志里：<br/><br/>　<br/>登录失败:<br/>原因: 用户名未知或密码错误<br/>用户名: administrator<br/>域: ABUSERVER<br/>登录类型: 2<br/>登录过程: User32<br/>身份验证程序包: Negotiate<br/>工作站名: ABUSERVER<br/><br/>　<br/><br/><br/>到这里，我们分析了各种不同环境下登录终端服务器的日志纪录效果。<br/><br/>也许有朋友会奇怪为什么在第一个日志记录中，工作站名也是服务器的名称而不是我用来登录的客户机的名称。<br/>原因是因为在以终端方式登录的时候，系统实际上是以 虚拟桌面、本地登录 的方式进行记录，自然没有对真正<br/>用户的纪录咯。<br/><br/>所以总结如下：<br/>1、当一个用户以终端方式登录服务器的时候，如果正常退出，服务器上的日志中，将不会记录你的IP，机器名。<br/>2、当用户以终端方式登录后又发生了中断，这时候系统才会纪录客户机的IP以及机器名。<br/>3、当密码输入错误导致连接终止时，在系统日志里会留下客户机的机器名信息。<br/><br/></p>