Fuentes:
http://somebooks.es/como-usar-el-visor-de-eventos-de-windows-server-2019/
De forma predeterminada, los archivos de registro del Visor de eventos usan la extensión .evt y se encuentran en la carpeta %SystemRoot%System32Config
Ver registros de usuarios conectados por escritorio remoto (RDP) al servidor
Abrimos el Visor de eventos del servidor y nos dirigimos a la siguiente sección:
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
Nos aparecerán las conexiones, reconexiones y desconexiones, usuarios y fechas. Se pueden exportar los logs para hacer búsquedas más sencillas.
Curso Windows Server 2019
Disfruta de este completo Curso Windows Server 2019 completamente gratis para poder convertirte en un experto IT de sistemas Windows Server.
https://www.solvetic.com/page/cursos/s/sistemas/curso-windows-server-2019-gratis
Controlar la actividad de usuarios conectados a un servidor a través de RDP en Windows SERVER
Abrir el Visor de Eventos ( eventvwr.msc )
1. Ir a Applications and Services Logs -> Microsoft -> windows -> TerminalServices-LocalSessionManager
2. Abrir Admin o Operational
Verá la lista de sesiones. Fecha/fecha/IP/nombre de usuario, etc. También puede buscar en Applications and Services LogsMicrosoftWindowsTerminalServices-RemoteConnectionManager
Fuente: https://www.enmimaquinafunciona.com/pregunta/22862/hay-registros-de-actividad-rdp—windows-server-2008-r2
Colectar toda la carpeta de registros desde Windows.
- Navigue a C:WindowsSystem32winevtLogs
- Comprima (ZIP7zRAR) la carpeta entera de logs .
Fuente: https://www.veeam.com/es/kb1873