Windows 用于锁定和解锁的Eventviewer eventid
Windows XP、Windows 7和Windows中计算机的锁定、解锁事件查看器中的事件id是什么?在Vista之前的Windows中要查找的事件id是,和。528通常表示工作站成功解锁Windows 用于锁定和解锁的Eventviewer eventid,windows,event-viewer,Windows,Event Viewer,Windows XP、Windows 7和Windows中计算机的锁定、解锁事件查看器中的事件id是什么?在Vista之前的Windows中要查找的事件id是,和。528通常表示工作站成功解锁 较新Windows版本的代码不同,有关更多信息,请参见下面的答案。锁定事件ID为4800,解锁为4801。您可以在安全日志中找到它们。您可能必须使用本地安全策略(secpol.msc,Windows XP中的本地安全设置)->本地策略->审核策略。对于Windows 10,请参见下图 在子类别下查找:其他
较新Windows版本的代码不同,有关更多信息,请参见下面的答案。锁定事件ID为4800,解锁为4801。您可以在安全日志中找到它们。您可能必须使用本地安全策略(secpol.msc,Windows XP中的本地安全设置)->本地策略->审核策略。对于Windows 10,请参见下图 在子类别下查找:其他登录/注销事件
您需要启用这些事件的日志记录。通过打开组策略编辑器执行此操作: 运行->gpedit.msc 并配置以下类别: 计算机配置->
Windows设置->
安全设置->
高级审核策略配置->
系统审核策略-本地组策略对象->
登录/注销->
审核其他登录/注销事件
(解释选项卡上写着“…允许您审核…锁定和解锁工作站”要识别解锁屏幕,我相信您可以使用ID 4624。但是,您还需要查看登录类型,在本例中为7:
注销的事件ID是4634不幸的是,没有锁定/解锁这样的东西。你要做的是:
就是这样,对于Windows 10,lock=4800和unlock=4801的事件ID 正如Mario和用户00000提供的答案中所述,您需要通过运行gpedit.msc并导航到他们指定的分支,使用上述方法来启用锁定和解锁事件的日志记录: 计算机配置-> Windows设置-> 安全设置->
高级审核策略配置-> 系统审核策略-本地组策略对象-> 登录/注销-> 审核其他登录/注销 为成功和失败事件启用 启用这些事件的日志记录后,可以直接筛选事件ID 4800和4801
此方法适用于Windows 10,因为我只是在锁定和解锁计算机后使用它来过滤安全日志。对于较新版本的Windows(包括但不限于Windows 10和Windows Server 2016),事件ID为:
- 4800-工作站已锁定
- 4801-工作站已解锁
- 4624-已成功登录帐户
- 4634-已注销一个帐户李>
- 4648-尝试使用显式凭据登录
- 4779-会话已从窗口站断开
- 4778-会话已重新连接到窗口站
gpedit.msc
)或本地安全策略(secpol.msc
)启用
使用本地组策略编辑器的策略路径为:
- 本地计算机策略
- 计算机配置
- Windows设置
- 安全设置
- 高级审核策略配置
- 系统审核策略-本地组策略对象
- 登录/注销
- 审核其他登录/注销事件
- 安全设置
- 高级审核策略配置
- 系统审核策略-本地组策略对象
- 登录/注销
- 审核其他登录/注销事件
4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed
使用Windows 10 Home edition的Windows 10 professional。即使在安装Windows组策略编辑器、启用对所有相关事件的审核并重新启动计算机之后,我也无法让我的事件查看器捕获事件4800和4801。但是,我发现了与锁定和解锁相关的其他事件,您可以使用这些事件准确可靠地指示电脑锁定的时间。请参阅下面的配置-第一个用于PC锁定(连接到显示C:\Windows\System32\LogonUI.exe的事件),第二个用于PC解锁(成功登录的事件)
“高级审核策略配置”似乎在Windows XP中不可用。Peter,你说得对,高级审核策略配置在XP中不可用。对于不支持加入域的Windows 2008 R2和Win7版本也是如此。检查优秀答案。我想您可以在这里找到相同的菜单以及本地安全策略编辑器,但我喜欢通过
gpedit.msc
到达那里的方式。方便的提示!谢谢这正是我想要的。作为补充,对于锁定事件,审核事件将为4800,对于解锁事件,审核事件将为4801(至少在windows 10中)。谢谢!这正是我所寻找的,与其他类型的审核登录事件
策略输出相比,它更容易捕获和分析。在安全设置->高级审核策略配置->系统审核策略-Loca下找到我的Windows 7本地安全策略“工具”设置