根据你描述的场景，我整理了几个Windows 10上实用的排查方向，帮你区分是远程操作还是手动触发的睡眠/登录行为：

一、先查睡眠/休眠相关的系统日志 #

要确认设备是何时进入睡眠、又是被什么唤醒的，直接看系统日志最靠谱：

• 打开事件查看器，展开「Windows日志」→ 选择「系统」
• 右键点击「筛选当前日志」，输入以下事件ID进行筛选：
  • 事件ID 42：系统进入睡眠状态
  • 事件ID 107：系统从睡眠中唤醒
  • 事件ID 109：系统从休眠状态恢复
    这些日志会明确记录触发时间，部分日志还会标注唤醒源（比如用户手动操作、硬件设备唤醒，或是远程命令触发），能帮你初步判断睡眠是自动还是人为触发。

二、排查远程连接历史 #

1. 事件查看器里的远程桌面专属日志 #

Windows专门记录了远程会话的细节，路径如下：

• 事件查看器 → 展开「应用程序和服务日志」→「Microsoft」→「Windows」→「TerminalServices-LocalSessionManager」→「操作日志」
  • 事件ID 21：用户登录会话
  • 事件ID 23：用户注销会话
  • 事件ID 24：会话断开连接
  • 事件ID 25：会话重新连接
• 另外，在「TerminalServices-RemoteConnectionManager」日志里，事件ID 1149非常关键——它会直接记录远程连接的用户名和来源IP，能帮你锁定是不是远程操作。

2. 用命令行快速查询会话状态 #

打开管理员权限的命令提示符，运行以下命令：

• qwinsta 或 query session：查看当前及最近的会话信息，包括会话状态、关联的用户名
• netstat -ano | findstr :3389：检查默认远程桌面端口（3389）的连接记录，输出里的PID可以对应任务管理器里的进程，确认是否有可疑连接。

3. 从安全日志区分登录类型 #

打开事件查看器的「Windows日志」→「安全」，筛选以下事件ID：

• 事件ID 4624：成功登录事件
• 事件ID 4634：成功注销事件
  在这些日志的「登录类型」字段里，你可以快速区分：
  • 登录类型2：本地控制台登录（手动操作）
  • 登录类型10：远程桌面登录
    这能直接帮你判断设备的登录行为是本地手动操作，还是远程连接触发的。

三、额外的辅助排查点 #

• 检查可疑进程：打开「任务管理器」→「性能」→「打开资源监视器」，查看CPU标签下的进程活动，也可以在事件查看器的「应用程序」日志里，搜索是否有触发睡眠的命令（比如rundll32.exe powrprof.dll,SetSuspendState 0,1,0）被执行过。
• 排查计划任务：打开「任务计划程序」，检查是否有创建过自动触发睡眠的任务——不管是远程还是手动设置的，这里都会留下痕迹。
• 再核对Cortex XDR日志：虽然之前没线索，但可以再检查它的端点活动日志，比如有没有远程执行命令、进程注入的记录，EDR工具通常会捕捉这类操作细节。

这些方法应该能帮你锁定问题根源，要是还是有疑问，再结合监控录像确认就更稳妥了。

备注：内容来源于stack exchange，提问作者001121100