,,

[C#]通過Windows系統日志查看最后一次遠程桌面登錄的用戶

當前位置：點晴教程→知識管理交流 →『技術文檔交流』

admin

2025年2月14日 16:59 本文熱度 707

在C#中讀取本機遠程桌面（RDP）的歷史登錄信息通常涉及到讀取Windows事件日志，因為Windows操作系統會將遠程桌面會話的登錄信息記錄在事件日志中。你可以使用System.Diagnostics.EventLog類來訪問這些日志。

以下是一個基本的步驟和示例代碼，展示如何使用C#來讀取本機的遠程桌面連接歷史：

步驟 1: 添加必要的命名空間

在你的C#文件中，確保添加了System.Diagnostics命名空間：

using System;
using System.Diagnostics;

步驟 2: 讀取事件日志

你可以通過查詢特定的事件日志來獲取遠程桌面連接的歷史記錄。對于遠程桌面連接，通常使用的是“Security”日志，其中事件ID為4624（成功登錄）或4778（遠程桌面服務會話開始）。

private void button1_Click(object sender, EventArgs e)
{
    EventLog rEvent = new EventLog();
    rEvent.Log = "Security";  //"Application", "Security", "System"
    //rEvent.MachineName = "dn0351";
    int tmpNum = 0;
    foreach (EventLogEntry entry in rEvent.Entries)
    {
        if (tmpNum>5) { return; }
        //if (entry.EventID == 4778 && checkMessageLogin(entry.Message))
        //if (entry.EventID == 4624 || entry.EventID == 4778)
        if (entry.EventID == 4778)
        {
            tmpNum++;
            Console.WriteLine($"第 {tmpNum} 次登錄");
            textBox1.Text = textBox1.Text + Environment.NewLine;
            textBox1.Text = textBox1.Text + Environment.NewLine;
            textBox1.Text = textBox1.Text + Environment.NewLine;
            textBox1.Text = textBox1.Text +$"第 {tmpNum} 次登錄：" + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("時間：" + entry.TimeGenerated) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("索引："+entry.Index) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("ID：" + entry.EventID) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("用戶名：" + entry.UserName) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("設備名稱：" + entry.MachineName) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("站點：" + entry.Site) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("來源：" + entry.Source) + Environment.NewLine;
            textBox1.Text = textBox1.Text + ("所有信息：" + entry.Message) + Environment.NewLine;
            //textBox1.Text = textBox1.Text + Environment.NewLine + entry.Message;
        }
    }
}


public Boolean checkMessageLogin(String Msg)
{
    Regex check = new Regex(@"登錄類型:\s*(?:2|10)", RegexOptions.IgnoreCase);
    if (check.IsMatch(Msg))
    {
        return true;
    }
    else
    {
        return false;
    }
}

注意事項：

權限：運行此代碼的應用程序需要有足夠的權限來讀取安全日志。通常，這意味著你的應用程序需要以管理員權限運行。
篩選條件：你可以調整查詢條件來過濾出特定的登錄嘗試，例如基于用戶名、計算機名或時間范圍。例如，使用EventID=4624 AND UserName='Administrator'可以過濾出特定用戶的登錄嘗試。
性能考慮：頻繁讀取事件日志可能會影響系統性能，特別是在日志條目非常多的情況下。考慮在必要時使用，并優化查詢條件。

示例：使用更具體的查詢條件

如果你只對特定用戶或特定時間的登錄嘗試感興趣，可以修改查詢字符串：

if (entry.EventID=4624 && entry.UserName=="Administrator" && entry.TimeGenerated > "2025-1-20" && entry.EntryType == EventLogEntryType.Error)
{
  // 示例：查詢特定用戶自2020年12月1日以來的登錄嘗試
}

確保替換日期和時間以符合你的需求。

通過以上方法，你可以有效地在C#中讀取和分析本機的遠程桌面歷史登錄信息。

該文章在 2025/2/14 18:29:15 編輯過

午夜视频在线观看区二区-午夜视频在线观看视频-午夜视频在线观看视频在线观看-午夜视频在线观看完整高清在线-午夜视频在线观看网站-午夜视频在线观看亚洲天堂

[C#]通過Windows系統日志查看最后一次遠程桌面登錄的用戶

步驟 1: 添加必要的命名空間

步驟 2: 讀取事件日志

注意事項：

示例：使用更具體的查詢條件