Reset Windows Password: просмотр событий удаленного рабочего стола
При использовании клиента службы терминалов (также известного как подключение к удаленному рабочему столу) в Windows различные события, связанные с клиентом, сохраняются и могут быть просмотрены позже с помощью Просмотрщика событий (Event Viewer). Для просмотра событий, связанных с клиентом службы терминалов, откройте Просмотрщик событий, перейдите в раздел "Журналы приложений и служб", разверните папку "Microsoft" и выберите журнал "TerminalServices-ClientActiveXCore".
Просмотрщик событий - это инструмент в Windows, который позволяет пользователям просматривать и управлять системными и приложенческими журналами. Однако он может быть доступен только после входа в учетную запись. Дополнительной проблемой для эксперта-криминалиста может быть то, что события, связанные с удаленным рабочим столом, разбросаны по разным журналам, а не ограничены только одним журналом "TerminalServices-ClientActiveXCore".
Данная функция программы решает обе проблемы, собирая как можно больше событий, связанных с подключениями RDP и извлекая дополнительные данные из журналов "TerminalServices-RemoteConnectionManager", "RemoteDesktopServices-RdpCoreTS", "TerminalServices-LocalSessionManager", "System" и "Security".
Выбор каталога Windows
Для этого укажите каталог, в котором установлена Windows.
Просмотр событий удаленного рабочего стола
При просмотре журналов RDP вы можете использовать контекстное меню для сохранения списка в виде отчета HTML.
Обратите внимание, поиска и анализ всех элементов журнала может занять некоторое время.
English
Russian
