PS: Letzte Anmeldung per RDP anzeigen

[Kuddel071089 9]

Hallo zusammen,

 

wie kann man auswerten. welche User (DOMAIN\Admin*) sich als letztes an einem Server per RDP angemeldet hat?

 

Die Server sind in der Regel bis auf drei Ausnahmen, keine Terminalserver

 

 

Vielen Dank schon einmal

 

 

EDIT:

Ich habe mal nach der WinEvent ID 4624 gefilter. Die Abfrage funktioniert auf einem normalen AD Member Server, auf einem Terminalserver leider nicht.

 

 

$event = Get-WinEvent -FilterHashtable @{LogName = 'Security'
    ID = 4624
} -MaxEvents 1000 | Where-Object {$_.Properties.Value[5]-like "Admin*"} | Select -First 1


"$($event.Properties.Value[5]) - $($event.TimeCreated)"

 

bearbeitet 7. März 2023 von Kuddel071089

[testperson 1.675]

Hi,

 

sollte sich im Eventlog unter der Event-Id 21 von Microsoft-Windows-TerminalServices-LocalSessionManager/Operational finden lassen.

 

Gruß

Jan

[Kuddel071089 9]

vor 44 Minuten schrieb testperson:

Hi,

 

sollte sich im Eventlog unter der Event-Id 21 von Microsoft-Windows-TerminalServices-LocalSessionManager/Operational finden lassen.

 

Gruß

Jan

 

Ja die Meldungen sind vorhanden. Danke.

 

Wie bekomme ich denn jetzt den Usernamen aus der Nachricht des Logeintrages exportiert ?

 

 

EDIT: So geht es

 

$event = Get-WinEvent -FilterHashtable @{
    LogName = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'
    ID = 21
} -MaxEvents 1

$user = $event.Properties.Value[0]
$time = Get-Date ($event.TimeCreated)

$user ; $time

 

bearbeitet 7. März 2023 von Kuddel071089

[testperson 1.675]

vor 36 Minuten schrieb Kuddel071089:

Wie bekomme ich denn jetzt den Usernamen aus der Nachricht des Logeintrages exportiert ?

 

Mit PowerShell und etwas Eigeninitiative?

[Kuddel071089 9]

vor 27 Minuten schrieb testperson:

 

Mit PowerShell und etwas Eigeninitiative?

 

Habs schon lösen können und meinen Beitrag editiert