Имя удалённого компа, с которого пользователь залогинился на локальный

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Скриптовые языки администрирования Windows (http://forum.oszone.net/forumdisplay.php?f=102)

Имя удалённого компа, с которого пользователь залогинился на локальный

Привет!
Возникла задача выцепить имена удалённых компов, с которых пользователи, заходя по VPN, логинятся в систему.

В логах это отображается по коду события 4624 и выглядит примерно так:

Код:

Get-EventLog Security -InstanceId 4624 -Message "*S-1-0-0*" |? {$_.message -match "Имя учетной записи:\s+UserLogin"}



# message:

Сведения о сети:

        Имя рабочей станции:    DESKTOP-148325

Вопрос - есть ли эта информация в "живом" виде в системе, чтобы не выцеплять её из логов?
Ведь на экране блокировки локального компьютера отображается, что "юзер такой-то зашёл с такой-то удалённой машины".
Тем более, что и логон-скрипт сбор информации не вставишь, т. к. в лог безопасности неадминам лазать запрещено, а удалённо собирать это всё из логов скриптом - долго и тоскливо.

Может с помощью whoami? Правда не знаю, как привязать к логину, т.к. никогда не сталкивался с такой задачей.

Цитата:

Цитата DJ Mogarych

Вопрос - есть ли эта информация в "живом" виде в системе, чтобы не выцеплять её из логов? »

Развернутого и точного ответа у меня нет, но может быть это поможет...

Похоже на https://archive.codeplex.com/?p=psterminalservices, но оно очень старое

Спасибо, поковыряю. Пока оставил парсинг логов