可通过Windows事件查看器定位远程登录IP:筛选事件ID 4624(登录类型10)、4648、4625查源IP;用PowerShell批量导出;或检查TerminalServices-LocalSessionManager日志中ID 21/23/25的Address字段。
如果您怀疑有远程设备连接过您的电脑,或需要确认某次登录行为的来源地址,则可通过 Windows 事件查看器定位对应 IP。以下是查找 IP 的具体步骤:
一、筛选事件 ID 4624 查看成功登录的源 IP
事件 ID 4624 记录所有成功登录行为,其中“远程交互式登录”(登录类型为 10)明确对应远程桌面等远程控制活动,其“源网络地址”字段即为远程端真实 IP。
1、按 Win + R 打开运行对话框,输入 eventvwr.msc 并回车,启动事件查看器。
2、在左侧导航树中,依次展开 Windows 日志 → 安全。
3、在右侧“操作”面板中,点击 筛选当前日志…。
4、在弹出窗口的“事件 ID”栏中输入 4624,点击确定。
5、在筛选结果中,逐条检查“登录类型”为 10 的记录;双击该条目,在“详细信息”选项卡中展开 EventData,查找 IpAddress 或 Source Network Address 字段值。
二、筛选事件 ID 4648 查看显式凭据登录的 IP
事件 ID 4648 记录使用 runas、远程桌面凭据缓存、第三方远控工具(如向日葵、ToDesk)等通过明确凭据发起的登录行为,其日志中直接包含 IP 地址字段,无需依赖登录类型判断。
1、保持事件查看器打开,仍在 Windows 日志 → 安全 页面。
2、再次点击右侧 筛选当前日志…。
3、在“事件 ID”栏输入 4648,点击确定。
4、筛选出的每条记录中,直接查看 EventData 下的 IpAddress 子项内容,该值即为发起登录的远程设备 IP。
三、筛选事件 ID 4625 查看失败登录尝试的源 IP
事件 ID 4625 记录所有失败的登录尝试,常用于识别暴力破解或未授权访问行为;其“源网络地址”字段可暴露攻击者真实出口 IP,尤其适用于定位异常扫描来源。
1、在事件查看器的 安全 日志界面,点击 筛选当前日志…。
2、在“事件 ID”栏输入 4625,点击确定。
3、浏览筛选结果,重点关注时间密集、用户名规律(如 Administrator、admin)或连续失败的条目。
4、双击任一条目,在“详细信息”中展开 EventData,提取 IpAddress 或 Workstation Name 字段值。
四、使用 PowerShell 快速导出全部登录 IP 记录
PowerShell 可批量提取指定时间段内所有含 IP 的安全日志,避免人工逐条翻查;适用于需汇总分析多个登录事件的场景。
1、以管理员身份运行 PowerShell。
2、执行以下命令(查询过去 24 小时内事件 ID 4624、4648、4625 的 IP 记录):
Get-WinEvent -FilterHashtable @{LogName='Security';StartTime=(Get-Date).AddHours(-24);Id=4624,4648,4625} -ErrorAction SilentlyContinue | ForEach-Object { $xml = [xml]$_.ToXml(); $ip = $xml.Event.EventData.Data | Where-Object Name -eq 'IpAddress' | Select-Object -ExpandProperty '#text'; if($ip) { [PSCustomObject]@{Time=$_.TimeCreated;ID=$_.Id;IP=$ip} } } | Sort-Object Time -Descending | Format-Table -AutoSize
3、输出结果中,“IP”列即为各次登录/尝试的源地址。
五、检查终端服务会话日志获取更精确的 RDP 连接 IP
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 日志专用于记录远程桌面会话生命周期(登录、断开、重连),其结构化程度高、IP 字段命名统一,比安全日志更易定位 RDP 行为。
1、在事件查看器中,展开左侧 应用程序和服务日志 → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational。
2、右键该日志,选择 属性,确认“启用日志”已勾选;若未启用,勾选后点击确定并重启日志服务。
3、在该日志窗口右侧点击 筛选当前日志…。
4、在“事件 ID”栏输入 21,23,25(分别对应登录、登出、重连),点击确定。
5、双击任一条目,在“详细信息”选项卡中查找 Address 字段,其值即为 RDP 连接的客户端 IP。
