Windows: Listar inicios sesión escritorio remoto (RDP)

Los inicios de sesión de escritorio remoto (RDP) quedan registrados en el registro de eventos de Windows.

Windows: Listar inicios de sesión escritorio remoto (RDP) - Vía GUI
Podemos consultar estos registros vía GUI utilizando el visor de eventos

Para ejecutar el visor de eventos pulsaremos la tecla Windows+R y en el comando de ejecutar pondremos eventvwr.msc

La localización de estos eventos los encontraremos en:

Visor de eventos - Registro de aplicaciones y servicios - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational

windows listar inicios de sesion RDP Sysadmit 01

Una vez situados en esta rama del visor de eventos, podemos ver los eventos con el identificador: 25

Este es el aspecto de uno de los eventos donde podemos ver el usuario que la ha iniciado sesión, la fecha y hora así como la dirección IP origen:

windows listar inicios de sesion RDP Sysadmit 02

 

Listado de algunos eventos:

Autenticación muestra si un usuario de RDP se ha autenticado correctamente en el servidor o no. El registro se encuentra en «Windows -> Seguridad». Por lo que puede estar interesado en los eventos con EventID 4624 (An account was successfully logged on) o 4625 (An account failed to log on). Por favor, preste atención al valor de LogonType en la descripción del evento. Si se ha utilizado el servicio Escritorio remoto para crear una nueva sesión durante el inicio de sesión, LogonType = 10. Si el LogonType = 7, significa que un usuario se ha vuelto a conectar a la sesión RDP existente.

Al mismo tiempo, puede encontrar un nombre de usuario en la descripción del evento en el Nombre de la cuenta campo, un nombre de computadora – en Nombre de la estación de trabajoy una dirección IP, en Dirección de red de origen.

Por favor, tenga en cuenta el valor de la TargetLogonID fiedl. Es una identificación única de la sesión RDP de un usuario que ayuda a realizar un seguimiento de la actividad adicional del usuario. Sin embargo, si se desconecta una sesión RDP y un usuario se vuelve a conectar, se le asignará un nuevo TargetLogonID (aunque una sesión RDP sigue siendo la misma).

Iniciar sesión se refiere a un inicio de sesión de RDP en el sistema, un evento que aparece después de que un usuario se ha autenticado correctamente. Es un evento con EventID 21 (Remote Desktop Services: Session logon succeeded). Estos eventos se encuentran en los «Registros de aplicaciones y servicios -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operacional ”. Como puede ver, aquí puede encontrar el ID de una sesión RDP de usuario: ID de sesión.

El evento con EventID – 21 (Remote Desktop Services: Shell start notification received) significa que el shell del Explorador se ha iniciado correctamente (el escritorio aparece en la sesión RDP del usuario).

Desconexión / reconexión de sesión – los eventos de desconexión / reconexión de la sesión tienen diferentes ID según la causa de la desconexión del usuario (desconexión por inactividad, la opción Desconectar ha sido seleccionada por el usuario en la sesión, la sesión RDP finalizada por otro usuario o un administrador, etc.). Puede encontrar estos eventos en los registros ubicados en “Registros de aplicaciones y servicios -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational”. Consideremos los eventos de RDP más interesantes:

  • EventID – 24 (Remote Desktop Services: Session has been disconnected) – un usuario se ha desconectado de la sesión RDP.
  • EventID – 25 (Remote Desktop Services: Session reconnection succeeded) – un usuario se ha vuelto a conectar a la sesión RDP existente en el servidor.
  • EventID – 39 (Session <A> has been disconnected by session <B>): Un usuario se ha desconectado de la sesión RDP seleccionando la opción de menú correspondiente (en lugar de simplemente cerrar la ventana del cliente RDP). Si los ID de sesión son diferentes, un usuario ha sido desconectado por otro usuario (o un administrador).
  • EventID – 40 (Session <A> has been disconnected, reason code <B>). Aquí debe ver el código de motivo de desconexión en la descripción del evento. Por ejemplo:
    • código de razón 0 (No additional information is available) normalmente significa que un usuario acaba de cerrar la ventana del cliente RDP.
    • código de razón 5 (The client’s connection was replaced by another connection) significa que un usuario se ha vuelto a conectar a la sesión RDP anterior.
    • código de razón 11 (User activity has initiated the disconnect) significa que un usuario ha hecho clic en el botón Desconectar en el menú de inicio.

El evento con EventID 4778 en Windows -> Registro de seguridad (se reconectó una sesión a una estación de Windows). Un usuario se ha vuelto a conectar a una sesión RDP (a un usuario se le asigna un nuevo ID de inicio de sesión).

El evento con EventID 4799 en el registro «Windows -> Seguridad» (A session was disconnected from a Window Station). Se ha desconectado a un usuario de una sesión RDP.

Desconectarse se refiere al cierre de sesión del usuario del sistema. Se registra como el evento con EventID 23 (Remote Desktop Services: Session logoff succeeded) en “Registros de aplicaciones y servicios -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational”.

Al mismo tiempo, el evento con EventID 4634 (An account was logged off) aparece en el registro de seguridad.

El evento con EventID 9009 (The Desktop Window Manager has exited with code <X>) en el registro del sistema significa que un usuario ha iniciado el cierre de sesión de la sesión RDP con la ventana y el shell gráfico del usuario han finalizado.

 

Windows: Listar inicios de sesión escritorio remoto (RDP) - Vía PowerShell

Otra forma de obtener la misma información es utilizando PowerShell.

El cmd-let a ejecutar seria el siguiente:

Ejemplo de ejecución:

 windows listar inicios de sesion RDP Sysadmit 03

 

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies Más Información