可通过Windows事件查看器定位远程登录IP：筛选事件ID 4624（登录类型10）、4648、4625查源IP；用PowerShell批量导出；或检查TerminalServices-LocalSessionManager日志中ID 21/23/25的Address字段。

如果您怀疑有远程设备连接过您的电脑，或需要确认某次登录行为的来源地址，则可通过 Windows 事件查看器定位对应 IP。以下是查找 IP 的具体步骤：

一、筛选事件 ID 4624 查看成功登录的源 IP

事件 ID 4624 记录所有成功登录行为，其中“远程交互式登录”（登录类型为 10）明确对应远程桌面等远程控制活动，其“源网络地址”字段即为远程端真实 IP。

1、按 Win + R 打开运行对话框，输入 eventvwr.msc 并回车，启动事件查看器。

2、在左侧导航树中，依次展开 Windows 日志 → 安全。

3、在右侧“操作”面板中，点击 筛选当前日志…。

4、在弹出窗口的“事件 ID”栏中输入 4624，点击确定。

5、在筛选结果中，逐条检查“登录类型”为 10 的记录；双击该条目，在“详细信息”选项卡中展开 EventData，查找 IpAddress 或 Source Network Address 字段值。

二、筛选事件 ID 4648 查看显式凭据登录的 IP

事件 ID 4648 记录使用 runas、远程桌面凭据缓存、第三方远控工具（如向日葵、ToDesk）等通过明确凭据发起的登录行为，其日志中直接包含 IP 地址字段，无需依赖登录类型判断。

1、保持事件查看器打开，仍在 Windows 日志 → 安全 页面。

2、再次点击右侧 筛选当前日志…。

3、在“事件 ID”栏输入 4648，点击确定。

4、筛选出的每条记录中，直接查看 EventData 下的 IpAddress 子项内容，该值即为发起登录的远程设备 IP。

三、筛选事件 ID 4625 查看失败登录尝试的源 IP

事件 ID 4625 记录所有失败的登录尝试，常用于识别暴力破解或未授权访问行为；其“源网络地址”字段可暴露攻击者真实出口 IP，尤其适用于定位异常扫描来源。

1、在事件查看器的 安全 日志界面，点击 筛选当前日志…。

2、在“事件 ID”栏输入 4625，点击确定。

3、浏览筛选结果，重点关注时间密集、用户名规律（如 Administrator、admin）或连续失败的条目。

4、双击任一条目，在“详细信息”中展开 EventData，提取 IpAddress 或 Workstation Name 字段值。

四、使用 PowerShell 快速导出全部登录 IP 记录

PowerShell 可批量提取指定时间段内所有含 IP 的安全日志，避免人工逐条翻查；适用于需汇总分析多个登录事件的场景。

1、以管理员身份运行 PowerShell。

2、执行以下命令（查询过去 24 小时内事件 ID 4624、4648、4625 的 IP 记录）：

Get-WinEvent -FilterHashtable @{LogName='Security';StartTime=(Get-Date).AddHours(-24);Id=4624,4648,4625} -ErrorAction SilentlyContinue | ForEach-Object { $xml = [xml]$_.ToXml(); $ip = $xml.Event.EventData.Data | Where-Object Name -eq 'IpAddress' | Select-Object -ExpandProperty '#text'; if($ip) { [PSCustomObject]@{Time=$_.TimeCreated;ID=$_.Id;IP=$ip} } } | Sort-Object Time -Descending | Format-Table -AutoSize

3、输出结果中，“IP”列即为各次登录/尝试的源地址。

五、检查终端服务会话日志获取更精确的 RDP 连接 IP

Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 日志专用于记录远程桌面会话生命周期（登录、断开、重连），其结构化程度高、IP 字段命名统一，比安全日志更易定位 RDP 行为。

1、在事件查看器中，展开左侧 应用程序和服务日志 → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational。

2、右键该日志，选择 属性，确认“启用日志”已勾选；若未启用，勾选后点击确定并重启日志服务。

3、在该日志窗口右侧点击 筛选当前日志…。

4、在“事件 ID”栏输入 21,23,25（分别对应登录、登出、重连），点击确定。

5、双击任一条目，在“详细信息”选项卡中查找 Addres

# windows  # 电脑  # ipad  # 工具  # session  # win  # microsoft  # nas  # 向日葵  # 远程桌面  # todesk  # Object  # if  # sort  # foreach  # select  # date  # format  # xml  # Event  # 事件  # table  # 查看器  # 即为  # 双击  # 适用于  # 选项卡  # 勾选  # 网络地址  # 您的  # 如果您 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel的路由模型绑定怎么用_Laravel Route Model Binding简化控制器逻辑  如何注册花生壳免费域名并搭建个人网站？  如何在阿里云ECS服务器部署织梦CMS网站？  JS碰撞运动实现方法详解  如何快速搭建个人网站并优化SEO？  东莞专业网站制作公司有哪些,东莞招聘网站哪个好？  Android Socket接口实现即时通讯实例代码  如何在宝塔面板中创建新站点？  制作公司内部网站有哪些,内网如何建网站？  Laravel事件和监听器如何实现_Laravel Events & Listeners解耦应用的实战教程  如何用西部建站助手快速创建专业网站？  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  Python并发异常传播_错误处理解析【教程】  html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】  Laravel怎么判断请求类型_Laravel Request isMethod用法  如何快速生成可下载的建站源码工具？  Laravel如何使用Service Provider注册服务_Laravel服务提供者配置与加载  Win11怎么设置虚拟桌面 Win11新建多桌面切换操作【技巧】  Laravel怎么实现微信登录_Laravel Socialite第三方登录集成  如何快速搭建安全的FTP站点？  深圳网站制作平台,深圳市做网站好的公司有哪些？  jQuery validate插件功能与用法详解  Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能  电视网站制作tvbox接口,云海电视怎样自定义添加电视源？  Laravel如何与Docker（Sail）协同开发？（环境搭建教程）  Firefox Developer Edition开发者版本入口  米侠浏览器网页背景异常怎么办 米侠显示修复  如何在七牛云存储上搭建网站并设置自定义域名？  JavaScript如何实现路由_前端路由原理是什么  Laravel任务队列怎么用_Laravel Queues异步处理任务提升应用性能  Linux系统命令中screen命令详解  三星网站视频制作教程下载,三星w23网页如何全屏？  品牌网站制作公司有哪些,买正品品牌一般去哪个网站买？  如何用PHP工具快速搭建高效网站？  java中使用zxing批量生成二维码立牌  深圳网站制作公司好吗,在深圳找工作哪个网站最好啊？  西安市网站制作公司,哪个相亲网站比较好?西安比较好的相亲网站？  JS弹性运动实现方法分析  Laravel Seeder怎么填充数据_Laravel数据库填充器的使用方法与技巧  Laravel如何实现本地化和多语言支持？（i18n教程）  Laravel怎么清理缓存_Laravel optimize clear命令详解  Laravel怎么使用Blade模板引擎_Laravel模板继承与Component组件复用【手册】  Laravel如何生成和使用数据填充？（Seeder和Factory示例）  bing浏览器学术搜索入口_bing学术文献检索地址  详解MySQL数据库的安装与密码配置  Laravel如何处理跨站请求伪造（CSRF）保护_Laravel表单安全机制与令牌校验  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  大连 网站制作,大连天途有线官网？  如何在阿里云高效完成企业建站全流程？  linux top下的 minerd 木马清除方法