Windows リモートデスクトップでのログイン記録の調べ方

Windows リモートデスクトップ(RDP)でログインできる設定になっているかどうか、その場合、いつ、どこから誰がログインしてきたかを確認する方法をまとめます。

Windows リモートデスクトップでログインできる状態になっているかどうかの確認方法

コントロールパネル > システム > リモートの設定

を開き、リモートデスクトップで以下の項目が選択されている場合は、リモートデスクトップでログインできる状態です。

Windows リモートデスクトップでのログイン記録を調べる方法

  1. コントロールパネル > 管理ツール > イベントビューアー を起動
  2. Windows ログ > セキュリティ を選択
  3. タスクのカテゴリが「ログオン」となっているイベントを選択し、ログオンタイプが「10」のものがリモートデスクトップでのログインなので、これを探す
  4. ログオンタイプが「10」のものがあったら、以下の点を確認する
    • アカウント名 (詳細タブでは TargetUserName)
    • ソースネットワークアドレス (詳細タブでは IpAddress)
    • 日付と時刻
rdp-log.png

Windows 10 にアップグレードしたなどのために古いログが見えない場合

OS のアップグレード前の古いログは、C:\Windows.old\Windows\System32\winevt\Logs 以下に残っている(Windows 10 へのアップグレードの場合は1ヶ月間のみ保存)。

イベントビューアーの 操作 > 保存されたログを開く から C:\Windows.old\Windows\System32\winevt\Logs\Security.evtx を開くと、古いログを調べることができる。

削除されてしまったログファイルを復元させる

Windows10にアップグレードしてから1ヶ月以上たってしまったなどのために、古いログ・ファイルが消されている場合、ファイル復元ツールを使って復元させることができる場合があります。

ここでは Recuva というツールを使った例を紹介します。

1. recuvaのダウンロードページ からダウンロードし、インストーラー(rcsetup153.exeなど)を実行します。言語を Japanese、CClieaner のインストールを No thanks に変更してから Install をクリックします。

recuva-01.png

2. インストールが終了したら、Recuva を実行します。Recuva ウィザードが起動しますので、「次へ」をクリックします。

recuva-02.png

3. 「すべてのファイル」を選択して、「次へ」をクリックします。

recuva-03.png

4. 「ハッキリしない場合」を選択して、「次へ」をクリックします。

recuva-04.png

5. 「開始」をクリックします。スキャンが始まり、数分かけて削除されたファイルのリストアップが行われます。最後に「次のドライブについてはスキャン失敗」という警告が出る場合もありますが、無視してください。

recuva-05.png
recuva-06.png

6. 非常に多くのファイル名がリストアップされますが、目的のファイル「Security.evtx」を探すのが大変なので、「高度な設定に切替」をクリックします。

recuva-07.png

7. 検索フィールドに「Security.evtx」と入力し、このファイルが見つかるか確かめます。見つかったらチェックボックスに印をつけ、「復元」をクリックします。

recuva-08.png

8. 復元した Security.evtx ファイルの保存先を指定します。可能ならUSBメモリなど C:ドライブ以外を指定してください。以下の例では D:\ を指定しています。

recuva-09.png

9. 保存できたら、イベントビューアーを起動し、操作 > 保存されたログを開く で復元した Security.evtx を指定してください。


Last-modified: 2016/08/04 (木) 15:08:20