В журнал событий Windows не записываются события, когда клиент теряет связь с общим ресурсом SMB на сервере. Единственное событие, которое приходит на ум, это:
- Генерируется стандартным / встроенным компонентом Windows, и
- Записывает событие на какое-то событие "отключить"
если ноутбук находился в активном сеансе удаленного рабочего стола в тот момент, когда аппарат был отключен от сети. В этом случае сервер записывает событие в системный журнал с идентификатором события 56 из исходного TermDD следующим образом:
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил клиент. IP-адрес клиента: 10.84.0.67.
IP-адрес будет принадлежать клиенту (ноутбуку), поэтому вам нужно проверить ваш DHCP-сервер, чтобы определить, какой IP-адрес был назначен вашей машине в последний раз.
Другой вариант: события безопасности
Возможно, вам не удастся найти событие, в котором будет записан точный момент, когда клиент был отключен от сети (если вам не повезло иметь беспроводной контроллер с централизованным управлением, который регистрирует все беспроводные события, что является хорошей идеей), но есть большая вероятность, что вы сможете установить, когда устройство в последний раз было подключено к сети. Если повезет, эта информация может быть достаточно, чтобы быть полезным в некотором смысле.
В зависимости от того, как настроен ваш сервер, определенные события на стороне клиента, такие как доступ к серверу во время запуска компьютера, вход в систему пользователя и т.д., Могут привести к записи событий в журнал событий безопасности Windows на сервере. Например, вы можете найти события со следующими идентификаторами, которые подтверждают активность вашего целевого компьютера и предоставляют соответствующую отметку даты / времени:
Связанные статьи объясняют, как интерпретировать каждое из этих событий. К сожалению, в активной сети может быть зарегистрировано много таких событий, которые могут сделать поиск интересующих событий довольно трудоемким.
