کامپیوتر هایی که در مکانهایی مثل شرکت ها و سازمان ها قرار دارند همیشه در خطر این هستند که در نبود کاربر اون سیستم، توسط اشخاص دیگه ای مورد استفاده قرار بگیرند. این استفاده میتونه بصورت مستقیم و Local باشه و یا اینکه از طریق اتصال Remote.
برای بدست آوردن تاریخچه ورود کاربران به ویندوز باید از ابزار Event Viewer ویندوز استفاده کرد.
اجرا کردن Event Viewer به چند طریق ممکنه که کوتاه ترین روش استفاده از جعبه Run هست. فقط کافیه عبارت Eventvwr رو تایپ کنید و Enter کنید. بعد به این دو مسیر برید:
Apploications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager
Apploications and Services Logs > Microsoft > Windows > TerminalServices-RemoteConnectionManager
همونطوری که از اسامی این پوشه ها مشخصه، پوشه اول حاوی گزارشات ورود Local و پوشه دوم برای ورود از راه دور و یا Remotely هست.
با کلیک بر روی گزینه Operational لیستی از گزارشات در سمت راست صفحه مشاهده میشه. هر عملیاتی دارای یک Event ID منحصر به خودشه که پیدا کردن Event های مشابه اون رو برای ما راحت میکنه. با کلیک بر روی هر Event در کادر وسط صفحه اطلاعات کاربر وارد شده به سیستم نمایش داده میشه. در قسمت RemoteConnectionManager علاوه بر نام کاربر، IP کامپیوتر مقصد هم ذکر میشه.
اگر قصد دارید که از ثبت این گزارشات در ویندوز جلوگیری گنید بر روی گزینه Operational راست کلیک کنید و گزینه Properties رو کلیک کنید. در صفحه باز شده گزینه Enable Logging رو Uncheck کنید.
نکته: Event ID مربوط به Local Login عدد 41 هست و Event ID مربوط به Remote Login عدد 1149 .
