Fatal编程技术网
  • windows/
  • Windows 用于锁定和解锁的Eventviewer eventid

Windows 用于锁定和解锁的Eventviewer eventid

windows

Windows 用于锁定和解锁的Eventviewer eventid,windows,event-viewer,Windows,Event Viewer,Windows XP、Windows 7和Windows中计算机的锁定、解锁事件查看器中的事件id是什么?在Vista之前的Windows中要查找的事件id是,和。528通常表示工作站成功解锁 较新Windows版本的代码不同,有关更多信息,请参见下面的答案。锁定事件ID为4800,解锁为4801。您可以在安全日志中找到它们。您可能必须使用本地安全策略(secpol.msc,Windows XP中的本地安全设置)->本地策略->审核策略。对于Windows 10,请参见下图 在子类别下查找:其他

Windows XP、Windows 7和Windows中计算机的锁定、解锁事件查看器中的事件id是什么?

在Vista之前的Windows中要查找的事件id是,和。528通常表示工作站成功解锁

较新Windows版本的代码不同,有关更多信息,请参见下面的答案。

锁定事件ID为4800,解锁为4801。您可以在安全日志中找到它们。您可能必须使用本地安全策略(secpol.msc,Windows XP中的本地安全设置)->本地策略->审核策略。对于Windows 10,请参见下图

在子类别下查找:其他登录/注销事件

您需要启用这些事件的日志记录。通过打开组策略编辑器执行此操作:

运行->gpedit.msc

并配置以下类别:

计算机配置->
Windows设置->
安全设置->
高级审核策略配置->
系统审核策略-本地组策略对象->
登录/注销->
审核其他登录/注销事件

(解释选项卡上写着“…允许您审核…锁定和解锁工作站”

要识别解锁屏幕,我相信您可以使用ID 4624。但是,您还需要查看登录类型,在本例中为7:

注销的事件ID是4634

不幸的是,没有锁定/解锁这样的东西。你要做的是:

  • 点击“过滤当前日志…”
  • 选择XML选项卡并单击“手动编辑查询”
  • 输入以下查询:

    <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='LogonType']='7'] and (System[(EventID='4634')] or System[(EventID='4624')]) ]</Select> </Query> </QueryList> *[EventData[Data[@Name='LogonType']='7'] 和 (系统[(EventID='4634')]或系统[(EventID='4624')) ]
    • 就是这样,对于Windows 10,lock=4800和unlock=4801的事件ID

    正如Mario和用户00000提供的答案中所述,您需要通过运行gpedit.msc并导航到他们指定的分支,使用上述方法来启用锁定和解锁事件的日志记录:

    计算机配置-> Windows设置-> 安全设置->
    高级审核策略配置-> 系统审核策略-本地组策略对象-> 登录/注销-> 审核其他登录/注销

    为成功和失败事件启用

    启用这些事件的日志记录后,可以直接筛选事件ID 4800和4801

    此方法适用于Windows 10,因为我只是在锁定和解锁计算机后使用它来过滤安全日志。

    对于较新版本的Windows(包括但不限于Windows 10和Windows Server 2016),事件ID为:

    • 4800-工作站已锁定
    • 4801-工作站已解锁
    锁定和解锁工作站还涉及以下登录和注销事件:

    • 4624-已成功登录帐户
    • 4634-已注销一个帐户
    • 4648-尝试使用显式凭据登录
    当使用终端服务会话时,如果会话断开,锁定和解锁还可能涉及以下事件,并且事件4778可能替换事件4801:

    • 4779-会话已从窗口站断开
    • 4778-会话已重新连接到窗口站
    默认情况下,不会审核事件4800和4801,必须使用本地组策略编辑器(
    gpedit.msc
    )或本地安全策略(
    secpol.msc
    )启用

    使用本地组策略编辑器的策略路径为:

    • 本地计算机策略
    • 计算机配置
    • Windows设置
    • 安全设置
    • 高级审核策略配置
    • 系统审核策略-本地组策略对象
    • 登录/注销
    • 审核其他登录/注销事件
    使用本地安全策略的策略的路径是本地组策略编辑器路径的以下子集:

    • 安全设置
    • 高级审核策略配置
    • 系统审核策略-本地组策略对象
    • 登录/注销
    • 审核其他登录/注销事件
    安全设置->高级审核策略->系统审核->登录/注销->审核其他登录/注销事件->成功时

    启用以下功能:

    4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed
    使用Windows 10 Home edition的Windows 10 professional

    。即使在安装Windows组策略编辑器、启用对所有相关事件的审核并重新启动计算机之后,我也无法让我的事件查看器捕获事件4800和4801。但是,我发现了与锁定和解锁相关的其他事件,您可以使用这些事件准确可靠地指示电脑锁定的时间。请参阅下面的配置-第一个用于PC锁定(连接到显示C:\Windows\System32\LogonUI.exe的事件),第二个用于PC解锁(成功登录的事件)

    “高级审核策略配置”似乎在Windows XP中不可用。Peter,你说得对,高级审核策略配置在XP中不可用。对于不支持加入域的Windows 2008 R2和Win7版本也是如此。检查优秀答案。我想您可以在这里找到相同的菜单以及本地安全策略编辑器,但我喜欢通过
    gpedit.msc
    到达那里的方式。方便的提示!谢谢这正是我想要的。作为补充,对于锁定事件,审核事件将为4800,对于解锁事件,审核事件将为4801(至少在windows 10中)。谢谢!这正是我所寻找的,与其他类型的
    审核登录事件
    策略输出相比,它更容易捕获和分析。在
    安全设置->高级审核策略配置->系统审核策略-Loca下找到我的Windows 7本地安全策略“工具”设置