Windows sunucularda Uzak Masaüstü (RDP) bağlantılarının ne zaman yapıldığını, kimler tarafından denendiğini veya oturumun ne zaman kapatıldığını görmek için Event Viewer (Olay Görüntüleyicisi) üzerinden Security.evtx dosyası kullanılır. Bu loglar sayesinde hem başarılı hem de başarısız RDP girişimleri detaylı bir şekilde incelenebilir.

RDP Loglarının Bulunduğu Konum:

C:\Windows\System32\winevt\Logs\Security.evtx

Bu dosya, güvenlik ile ilgili tüm logları içerir. Doğrudan okunabilir bir dosya değildir, Event Viewer uygulaması ile görüntülenmelidir.

Event Viewer ile İnceleme:

Başlat menüsüne eventvwr yazın ve çalıştırın.
Sol panelde Windows Logs > Security bölümünü açın.
Sağ panelden Filter Current Log... seçeneğine tıklayın.
Aşağıdaki Event ID’leri filtre olarak girin:

4624, 4625, 4778, 4779

Önemli Event ID’ler:

4624: Başarılı oturum açma (Login Success)
4625: Başarısız oturum açma (Login Failed)
4778: Uzak oturum (RDP) başlatıldı
4779: Uzak oturum (RDP) kapatıldı

IP Adreslerini Görüntülemek

Her olay detayında aşağıdaki alanlar incelenmelidir:

Network Information > Source Network Address: Bağlantının geldiği IP adresi
Account Name ve Logon Type alanları da kullanıcı ve bağlantı türü hakkında bilgi verir.

Powershell ile Kısa RDP Log Raporu:

Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 -or $_.Id -eq 4625 -or $_.Id -eq 4778 -or $_.Id -eq 4779 } | Format-Table TimeCreated, Id, Message -AutoSize

Bu komut sistemdeki RDP giriş ve çıkışlarını listeler.

Notlar:

RDP portu (default 3389) değiştirilmişse saldırı loglarını bulmak için güvenlik loglarına ek olarak System.evtx de kontrol edilmelidir.
Event Viewer üzerinden zaman filtresi ve kullanıcı bazlı filtreleme ile detaylı analiz yapılabilir.

Windows tabanlı VPS veya sunucularda güvenlik ve erişim denetimi için bu logların düzenli olarak kontrol edilmesi önerilir.