Fuentes:

http://somebooks.es/como-usar-el-visor-de-eventos-de-windows-server-2019/

https://docs.microsoft.com/es-es/troubleshoot/windows-server/application-management/move-event-viewer-log-files

De forma predeterminada, los archivos de registro del Visor de eventos usan la extensión .evt y se encuentran en la carpeta %SystemRoot%System32Config

Ver registros de usuarios conectados por escritorio remoto (RDP) al servidor

Abrimos el Visor de eventos del servidor y nos dirigimos a la siguiente sección:
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

Nos aparecerán las conexiones, reconexiones y desconexiones, usuarios y fechas. Se pueden exportar los logs para hacer búsquedas más sencillas.

Curso Windows Server 2019
Disfruta de este completo Curso Windows Server 2019 completamente gratis para poder convertirte en un experto IT de sistemas Windows Server.

https://www.solvetic.com/page/cursos/s/sistemas/curso-windows-server-2019-gratis

Controlar la actividad de usuarios conectados a un servidor a través de RDP en Windows SERVER

Abrir el Visor de Eventos ( eventvwr.msc )
1. Ir a Applications and Services Logs -> Microsoft -> windows -> TerminalServices-LocalSessionManager
2. Abrir Admin o Operational
Verá la lista de sesiones. Fecha/fecha/IP/nombre de usuario, etc. También puede buscar en Applications and Services LogsMicrosoftWindowsTerminalServices-RemoteConnectionManager

Fuente: https://www.enmimaquinafunciona.com/pregunta/22862/hay-registros-de-actividad-rdp—windows-server-2008-r2

 Colectar toda la carpeta de registros desde Windows.

1. Navigue a C:WindowsSystem32winevtLogs
2. Comprima (ZIP7zRAR) la carpeta entera de logs .

Fuente: https://www.veeam.com/es/kb1873