&

C#從Windows系統事件日志中獲取遠程桌面登錄信息代碼，包括登錄賬號、登錄時間、登錄IP、登錄結果失敗或成功

admin

2025年2月26日 21:38 本文熱度 1282

Windows系統日志中獲取遠程桌面登錄信息，包括登錄賬號、登錄時間、登錄IP以及登錄結果（成功或失敗），你可以使用C#編寫代碼來查詢Windows事件日志。遠程桌面登錄事件通常記錄在Windows事件日志的“安全”日志中，事件ID為4624（登錄成功）和4625（登錄失敗）。

以下是一個示例代碼，展示如何使用C#從Windows事件日志中獲取遠程桌面登錄信息：

//csharp
using System;
using System.Diagnostics;


namespace RemoteDesktopLogReader
{
    class Program
    {
        static void Main(string[] args)
        {
            // 定義事件日志查詢
            string logType = "Security";
            string query = "*[System[(EventID=4624 or EventID=4625)]]";


            // 創建事件日志查詢
            EventLogQuery eventsQuery = new EventLogQuery(logType, PathType.LogName, query);


            // 創建事件日志讀取器
            using (EventLogReader logReader = new EventLogReader(eventsQuery))
            {
                EventRecord eventRecord;
                while ((eventRecord = logReader.ReadEvent()) != null)
                {
                    // 獲取事件ID
                    int eventID = eventRecord.Id;


                    // 獲取登錄時間
                    DateTime loginTime = eventRecord.TimeCreated.Value;


                    // 獲取登錄賬號
                    string accountName = eventRecord.Properties[5].Value.ToString();


                    // 獲取登錄IP
                    string ipAddress = eventRecord.Properties[18].Value.ToString();


                    // 獲取登錄結果
                    string loginResult = (eventID == 4624) ? "Success" : "Failure";


                    // 輸出登錄信息
                    Console.WriteLine($"Login Time: {loginTime}");
                    Console.WriteLine($"Account Name: {accountName}");
                    Console.WriteLine($"IP Address: {ipAddress}");
                    Console.WriteLine($"Login Result: {loginResult}");
                    Console.WriteLine(new string('-', 40));
                }
            }
        }
    }
}

代碼說明：

1. EventLogQuery: 用于定義查詢條件，這里我們查詢“Security”日志中事件ID為4624（登錄成功）和4625（登錄失敗）的事件。

2. EventLogReader: 用于讀取事件日志中的記錄。

3. EventRecord: 表示單個事件記錄，通過它我們可以獲取事件的詳細信息。

4. Properties: 事件記錄的屬性集合，包含了事件的詳細信息。例如，`Properties[5]`通常表示登錄賬號，`Properties[18]`表示登錄IP地址。

注意事項：

- 運行此代碼需要管理員權限，因為訪問安全日志通常需要提升的權限。

- 事件日志中的屬性索引可能會因Windows版本或配置的不同而有所變化，建議在實際使用前先檢查事件日志的結構。

- 如果事件日志非常大，查詢可能會比較慢，可以考慮添加時間范圍過濾條件來優化查詢性能。

運行環境：

- .NET Framework 4.5 或更高版本

- Windows 操作系統

通過這段代碼，你可以獲取遠程桌面登錄的詳細信息，并根據需要進行進一步處理或分析。

相關教程：

C#查看Windows系統最近一周遠程桌面登錄日志，并按照登錄時間降序輸出結果[171]
　 http://29565.oa22.cn

C#讀取Windows系統事件日志中最近一天遠程桌面登錄信息代碼（賬號、時間、IP、結果成功或失敗），按照時間降序輸出結果[152]
　 http://29568.oa22.cn

?C#從Windows系統事件日志中獲取遠程桌面登錄信息代碼，包括登錄賬號、登錄時間、登錄IP、登錄結果失敗或成功[180]
　 http://29563.oa22.cn

該文章在 2025/2/27 12:45:21 編輯過

91网首页-91网页版-91网在线观看-91网站免费观看-91网站永久视频-91网站在线播放

C#從Windows系統事件日志中獲取遠程桌面登錄信息代碼，包括登錄賬號、登錄時間、登錄IP、登錄結果失敗或成功