Windows服务器出现异常访问，或者是需要审计谁在什么时间通过什么IP地址登录过系统时，准确查看远程登录记录是一项关键的安全运维技能。Windows操作系统自身提供完整认证日志机制，只要知道在什么地方找到信息，正确解读就可以清晰还原出每一次远程登录的“足迹”。

核心战场：Windows事件查看器

所有远程登录尝试，无论成功或失败，都会被Windows系统记录在事件日志中。查询这些记录的主要工具是 “事件查看器”。你可以通过以下方式打开它：在服务器上按 `Win + R` 键，输入 `eventvwr.msc` 后回车，或者在开始菜单中搜索“事件查看器”。

登录事件主要存储在 “Windows日志” -> “安全” 日志中。这是所有安全相关事件的中央存储库，但里面的信息浩如烟海，我们需要使用筛选功能精准定位。在右侧操作面板点击“筛选当前日志…”，在弹出的对话框中，最关键的一步是输入 “事件ID”。

对于远程登录审计，你需要重点关注以下两个核心事件ID：

事件ID 4624：登录成功。这个事件记录了成功登录到系统的详细信息。

事件ID 4625：登录失败。这个事件记录了失败的登录尝试，是发现暴力破解等攻击行为的关键。

在“包括/排除事件ID”框中输入 `4624,4625`（用逗号分隔），然后点击“确定”，日志列表将只显示这两类事件。

解读关键信息：从事件详情中提取IP

筛选后，双击任意一条“事件ID 4624”（登录成功）的事件，会打开其属性窗口。你需要重点关注“常规”选项卡下方的描述文本，以及切换到“详细信息”选项卡后的结构化数据。

在描述文本中，寻找以下字段：

帐户名：是哪个用户账号登录的。

登录类型：这是判断是否为远程登录的关键。对于常见的远程桌面（RDP）登录，其登录类型为 `10` 。其他类型如`2`（交互式本地登录）、`3`（网络登录，如访问共享文件夹）等，在此场景下可暂时忽略。

源网络地址：这就是远程客户端的IP地址。如果登录来自本地控制台，此处可能显示为“-”。

工作站名：远程客户端的计算机名。

“详细信息”选项卡以XML或友好视图提供了更结构化的数据。你可以直接查找 `IpAddress` 或 `IpPort` 等字段来获取IP和端口信息。一个包含远程IP的成功登录事件，其关键字段通常如下所示：

主题：

安全ID：        SYSTEM

帐户名：        WIN-SERVER$

帐户域：        WORKGROUP

登录ID：        0x3E7

登录信息：

登录类型：      10

受限的管理员模式： -

虚拟帐户：       否

提升的令牌：     是

进程信息：

进程ID：        0x298

进程名：        C:\Windows\System32\svchost.exe

网络信息：

工作站名：       -

源网络地址：     192.168.1.100

源端口：        55234

在这个例子中，登录类型为 `10`，且源网络地址为 `192.168.1.100`，这就是一次来自该IP地址的远程桌面成功登录。

对于 事件ID 4625（登录失败），解读方式类似。频繁出现的4625事件，尤其是来自同一个IP地址针对不同用户名的失败尝试，是明显的暴力破解攻击迹象，需要立即关注，并考虑通过防火墙封锁该IP。

高效查询：使用命令行工具

对于习惯命令行或需要编写脚本进行自动化审计的管理员，Windows提供了更强大的工具—— PowerShell。使用 `Get-WinEvent` 命令可以灵活地查询和导出事件日志。

例如，要查询过去24小时内所有成功的远程登录（类型10）记录，并提取登录用户、时间和源IP，可以运行以下PowerShell脚本：

powershell

# 定义查询时间（过去24小时）

$StartTime = (Get-Date).AddHours(-24)

# 执行查询，筛选事件ID 4624且登录类型为10的事件

$Events = Get-WinEvent -FilterHashtable @{

LogName='Security'

ID=4624

StartTime=$StartTime

} | Where-Object { $_.Properties[8].Value -eq 10 } # Properties[8]通常对应登录类型

# 遍历事件并提取关键信息

foreach ($Event in $Events) {

$Time = $Event.TimeCreated

$User = $Event.Properties[5].Value # 通常为目标用户名

$IP = $Event.Properties[18].Value  # 通常为源网络地址（IP）

if ($IP) { # 只输出有IP地址的记录（即远程登录）

Write-Output "时间: $Time, 用户: $User, 源IP: $IP"

}

}

这个脚本会输出一个清晰的列表。你需要特别注意的是，事件属性（`Properties`）的索引号可能因Windows版本略有不同。在实际运行前，可以先手动查看一个事件的属性数组来确定准确的索引位置。

增强记录与安全加固

默认配置可能无法记录所有你关心的细节，你可以通过组策略进行增强。

1.  启用更详细的登录审核：运行 `gpedit.msc` 打开本地组策略编辑器，导航到“计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略”。确保 “审核登录事件” 和 “审核帐户登录事件” 都设置为“成功”和“失败”。这能确保4624和4625事件被记录。

2.  启用RDP连接级别日志：对于专用于远程桌面的服务器，可以启用更详细的RDP日志。此日志位于 `%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational.evtx`，通过事件查看器可以找到“应用程序和服务日志 -> Microsoft -> Windows -> RemoteDesktopServices-RdpCoreTS -> Operational”。这里记录了每个RDP会话的连接、断开等细节，可作为安全日志的补充。

实战应用：从记录到行动

获取登录记录不是最终目的，基于记录采取行动才是。

日常审计：定期运行PowerShell脚本，将成功的远程登录记录导出为CSV文件存档，作为访问审计依据。

实时监控与告警：你可以部署更专业的监控系统（如ELK Stack、SolarWinds等），实时采集Windows安全事件日志，并设置规则。例如，当1分钟内来自同一IP的登录失败事件（4625）超过5次时，自动触发告警（发送邮件、短信），并尝试通过脚本调用防火墙API临时封锁该IP。

事件调查：当发生安全事件时，结合“源IP地址”、“登录时间”和服务器上其他日志（如应用程序日志、Web服务器日志），可以完整还原攻击链，确定入侵点、影响范围和进行溯源。

查看Windows服务器的远程登录IP记录，是一项将系统内置日志能力转化为实际安全洞察力的技能。它始于事件查看器中的基本筛选，熟练于PowerShell的灵活查询，最终成就于与监控、告警和应急响应流程的整合。