Windows リモートデスクトップ(RDP)でログインできる設定になっているかどうか、その場合、いつ、どこから誰がログインしてきたかを確認する方法をまとめます。
コントロールパネル > システム > リモートの設定
を開き、リモートデスクトップで以下の項目が選択されている場合は、リモートデスクトップでログインできる状態です。
OS のアップグレード前の古いログは、C:\Windows.old\Windows\System32\winevt\Logs 以下に残っている(Windows 10 へのアップグレードの場合は1ヶ月間のみ保存)。
イベントビューアーの 操作 > 保存されたログを開く から C:\Windows.old\Windows\System32\winevt\Logs\Security.evtx を開くと、古いログを調べることができる。
Windows10にアップグレードしてから1ヶ月以上たってしまったなどのために、古いログ・ファイルが消されている場合、ファイル復元ツールを使って復元させることができる場合があります。
ここでは Recuva というツールを使った例を紹介します。
1. recuvaのダウンロードページ からダウンロードし、インストーラー(rcsetup153.exeなど)を実行します。言語を Japanese、CClieaner のインストールを No thanks に変更してから Install をクリックします。
2. インストールが終了したら、Recuva を実行します。Recuva ウィザードが起動しますので、「次へ」をクリックします。
3. 「すべてのファイル」を選択して、「次へ」をクリックします。
4. 「ハッキリしない場合」を選択して、「次へ」をクリックします。
5. 「開始」をクリックします。スキャンが始まり、数分かけて削除されたファイルのリストアップが行われます。最後に「次のドライブについてはスキャン失敗」という警告が出る場合もありますが、無視してください。
6. 非常に多くのファイル名がリストアップされますが、目的のファイル「Security.evtx」を探すのが大変なので、「高度な設定に切替」をクリックします。
7. 検索フィールドに「Security.evtx」と入力し、このファイルが見つかるか確かめます。見つかったらチェックボックスに印をつけ、「復元」をクリックします。
8. 復元した Security.evtx ファイルの保存先を指定します。可能ならUSBメモリなど C:ドライブ以外を指定してください。以下の例では D:\ を指定しています。
9. 保存できたら、イベントビューアーを起動し、操作 > 保存されたログを開く で復元した Security.evtx を指定してください。