可通过五种方式查看向日葵远程控制历史记录:一、客户端菜单打开TXT日志;二、消息中心查实时告警;三、官网账号后台看被控汇总;四、Windows事件查看器筛选ID4624登录事件;五、注册表检查RDP连接地址。
如果您已使用向日葵远程控制软件进行过设备连接,但需要回溯过往的远程操作行为或确认某次连接的设备来源,则可通过其内置的历史记录功能获取相关信息。以下是查看历史记录的具体方法:
一、通过客户端主界面菜单访问历史记录
该方式适用于所有版本的向日葵客户端,可快速打开本地存储的操作时间戳文件,用于基础时间线追溯。
1、双击启动电脑端向日葵远程控制软件,确保已成功登录账号。
2、点击软件窗口右上角的三条横线图标(≡),打开侧边功能菜单。
3、在展开的菜单列表中,向下滚动并点击“历史记录”选项。
4、系统将自动调用资源管理器,打开一个以TXT格式命名的本地日志文件夹,其中包含按日期生成的文本日志。
二、在消息中心查看实时告警与连接提示
该方式侧重于近期发生的远程控制事件提醒,适合快速确认是否发生过未授权连接行为,无需打开文件即可获取设备名称与时间概要。
1、在向日葵主界面右上角,点击小铃铛图标(消息中心)。
2、在弹出的消息列表中,筛选带有“远程控制已建立”、“设备被控”等字样的通知项。
3、点击任一通知,可查看对应连接的设备名称、连接发起时间及当前在线状态。
三、通过账号后台查看设备被控记录
该方式需登录向日葵官网账户,适用于多设备管理场景,可跨终端查看同一账号下所有绑定设备的被控行为汇总。
1、打开浏览器,访问向日葵官方网站并使用绑定手机号或邮箱登录您的向日葵账号。
2、登录后点击页面左上角的三条横线图标,从下拉菜单中选择“账号被控记录”。
3、进入页面后,系统列出所有设备的被控时间、控制方识别码、设备型号及操作类型(如桌面控制、文件传输)。
四、使用Windows事件查看器辅助验证远程连接痕迹
该方式不依赖向日葵软件本身,而是调用操作系统底层日志,适用于怀疑存在未通过向日葵发起的远程行为,或需交叉验证IP地址等网络信息。
1、在目标电脑上按下Win + R组合键,输入eventvwr.msc并回车,打开事件查看器。
2、依次展开左侧树状目录:Windows 日志 → 安全。
3、在右侧操作面板中,点击“筛选当前日志”,在“事件ID”栏输入4624,点击确定。
4、在筛选结果中,查找“登录类型”为10的条目,其详细信息中将显示源网络地址(即远程连接IP)、登录账户名及精确时间戳。
五、检查注册表中保存的远程连接地址(仅Windows)
该方式可提取曾通过远程桌面客户端(mstsc)连接过的地址记录,作为向日葵日志的补充参考,尤其适用于排查混合远程工具使用痕迹。
1、再次按下Win + R,输入regedit并回车,启动注册表编辑器。
2、导航至路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\TerminalServerClient\Default\AddIns\RDPDR。
3、若该路径下存在名为"MRU0"或类似命名的字符串值,双击查看其数据内容,可能包含最近使用的远程主机地址。
