如何识别新机器何时连接到远程客户端答案

【问题标题】：How to identify when a new machine is connecting to a remote client如何识别新机器何时连接到远程客户端
【发布时间】：2018-08-10 18:51:34
【问题描述】：

有没有办法识别另一台机器何时连接到 Windows 中的远程客户端？ PS。我需要识别新机器的连接而不是新用户（会话）。

我的目的是在新机器连接到客户端后立即运行一个 poweshell。

提前致谢！！

【问题讨论】：

定义“新机器”。
您的意思是要与计算机建立远程连接并运行 PowerShell 脚本吗？或者你想要一个远程机器上的监听器并且想要在连接事件之后在连接机器或监听机器上触发一个脚本？
我会更好地解释一下，我们有许多远程访问的客户端，我需要的是每次不同的机器（来自团队用户的机器）访问客户端时，我需要客户端识别它何时连接到另一台机器而不是前一台机器。
不知道是不是更清楚。如果您需要更多信息，请告诉我。感谢您的帮助...

标签： windows powershell authentication client remote-access

【解决方案1】：

这不是你会用 powershell 做的事情。但是您可以监控日志并解析新连接的数据。如果从未见过主机名，那么它将运行脚本或其他任何东西。但这不是一个强大的工作。

https://docs.microsoft.com/en-us/windows/desktop/wmisdk/running-a-script-based-on-an-event

可能只是你的答案。让脚本解析主机名或 IP 地址的日志。并将其放在一个文件中。如果它不在文件中，它会运行您需要的任何其他内容。 Powershell 可能是这个脚本。但不是你的初始向量。

【讨论】：

谢谢罗伯特！！这正是我所需要的。现在我只需要找到负责机器连接的事件。
“让脚本解析日志”是什么意思？
所以我发现在“DHCP Client-Events”->“Address Configuration State Event”窗口的“Events Viwer”上，我可以看到计算机名称。我认为也许我能做的就是在这个任务中添加一个 powershell 脚本，以验证计算机是否与前一个不同。但我不知道如何从日志中获取这个值，也不知道是否可以存储前一台计算机的名称。你知道我该怎么做吗？
解析日志就是拉取你需要的数据。所以就像使用select-object 和where-object
我相信审核（安全日志）4624 是您想要触发的内容。

【解决方案2】：

Windows 任务调度程序还包含可用于执行脚本的各种触发事件。 “连接到远程客户端的新机器”很可能会导致 Windows 事件日志中出现事件。请参阅这篇文章如何在发生此类事件时触发 powershell 脚本： Trigger a powershell script from a Windows event

【讨论】：

感谢您的回复，是的，现在我只需要发现新IP连接到客户端时返回的是哪个事件。
所以我发现在“DHCP Client-Events”->“Address Configuration State Event”窗口的“Events Viwer”上，我可以看到计算机名称。我认为也许我能做的就是在这个任务中添加一个 powershell 脚本，以验证计算机是否与前一个不同。但我不知道如何从日志中获取这个值，也不知道是否可以存储前一台计算机的名称。你知道我该怎么做吗？