在 Windows Server 2012 中,登录日志主要存放在安全日志中,通过事件查看器查看,并通过特定事件 ID筛选。
一、打开事件查看器
有 3 种常用方法:
- 快捷键(最快)按下 Win + R → 输入 eventvwr.msc → 回车。
2.从服务器管理器打开服务器管理器 → 右上角工具 → 事件查看器。
3.从控制面板控制面板 → 系统和安全 → 管理工具 → 事件查看器。
二、定位并筛选登录日志
- 展开左侧:Windows 日志 → 安全。
2.筛选登录事件(右侧:筛选当前日志)在 **<所有事件 ID>** 框中输入以下 ID(多个用逗号分隔):
- 4624:登录成功
- 4625:登录失败
- 4634:注销成功
- 4648:使用显式凭据登录(如运行其他用户身份的程序)
- 4776:远程桌面(RDP)连接
- 查看详情双击日志 → 详细信息(友好视图),可查看:
- 账户名、登录时间
- 登录类型(2 = 本地、3 = 网络、10 = 远程桌面)
- 源 IP 地址(远程登录可见)
三、常见登录类型说明
- 2:交互式(本地键盘 / 显示器登录)
- 3:网络(共享文件夹、SQL、Web 等)
- 10:远程桌面(RDP)
- 11:缓存域账户(脱机)
四、PowerShell 快速查询(命令行)
以管理员打开 PowerShell:
powershell
# 最近24小时登录成功/失败
Get-WinEvent -FilterHashtable @{
LogName='Security'
Id=4624,4625
StartTime=(Get-Date).AddDays(-1)
} | Select TimeCreated, Id, Message | fl
五、日志保存与导出
右侧将所有事件另存为 → 选 .evtx 或 .csv 格式保存。
六、常见问题
- 安全日志为空:需开启登录审核(组策略:
gpedit.msc→ 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略 → 审核登录事件 → 勾选 “成功、失败”)。 - 找不到 IP:确保开启网络访问审核。