События, отображающие подключения к компьютеру по RDP находятся в журнале по пути
Журналы приложений и служб
Microsoft
Windows
TerminalServices-LocalSessionManager
Operational- Основными событиями для определения, кто подключился являются:
- 21 - Успешный вход в систему
- 23 - Успешный выход из сеанса
- 24 - Сеанс был отключен
- 25 - Успешное переподключение сеанса
Если нужно отфильтровать события по ip-адресам с которых осуществлялся вход или по именам пользователей, то нужно зайти в фильтр текущего журнала, выбрать вкладку XML, поставить галочку Изменить запрос вручную и для фильтрации по определенным ip-адресам ввести запрос с нужными адресами:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*[System[(EventID=21 or EventID=24 or EventID=25)]] and *[UserData[EventXML[(Address='192.168.1.128' or Address='192.168.1.129' or Address='192.168.1.130' or Address='192.168.1.131' or Address='192.168.1.132')]]] </Select>
</Query>
</QueryList>для фильтрации по определенным именам пользователей ввести запрос с нужными именами:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*[System[(EventID=21 or EventID=24 or EventID=25)]] and *[UserData[EventXML[(User='domain\user1' or User='domain\user2' or User='domain\user3')]]] </Select>
</Query>
</QueryList>Для просмотр событий можно воспользоваться программой FullEventLogView с помощью нее можно фильтровать данные по любым параметрам в удобном интерфейсе