Подтвердить что ты не робот

Eventviewer eventid для блокировки и разблокировки

Что такое идентификатор события в Event Viewer для блокировки, разблокировка для компьютера в Windows XP, Windows 7, Windows Vista и Windows Server 2008?

4b9b3361

ОТВЕТЫ

Ответ 1

Идентификаторы событий, которые нужно искать в Windows Vista до версии Vista, 528, 538 и 680. 528 обычно означает успешную разблокировку рабочей станции.

Коды для новых версий Windows отличаются, см. ниже ответы для получения дополнительной информации.

Ответ 2

Идентификатор события блокировки - 4800, а разблокировка - 4801. Вы можете найти их в журналах безопасности. Возможно, вам придется активировать их аудит с помощью локальной политики безопасности (secpol.msc, локальные параметры безопасности в Windows XP) → локальные политики → политика аудита. Для Windows 10 см. Рисунок ниже.

См. Описание событий безопасности в Windows 7 и Windows Server 2008 R2 в подкатегории: Другие события входа/выхода.

Other Logon/Logoff Events in Windows 10

Ответ 3

Вам нужно будет включить ведение журнала этих событий. Сделайте это, открыв редактор групповой политики:

run → gpedit.msc

и настройки следующей категории:

Конфигурация компьютера →
Настройки Windows →
Настройки безопасности →
Расширенная настройка политики аудита →
Политики системного аудита - Объект локальной групповой политики →
Вход/Выход из системы →
Аудит Другое Вход/Выход из системы

(На вкладке "Объяснение" говорится: "... позволяет вам проверять... Блокировать и разблокировать рабочую станцию".)

Ответ 4

Чтобы определить экран разблокировки, я считаю, что вы можете использовать ID 4624. Но тогда вам также нужно посмотреть тип входа, который в этом случае равен 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

Идентификатор события для выхода из системы - 4634

Ответ 5

К сожалению, нет такой вещи, как Lock/Unlock. Что вам нужно сделать:

  • Нажмите "Фильтровать текущий журнал..."
  • Выберите вкладку XML и нажмите "Редактировать запрос вручную"

  • Введите следующий запрос:

    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[EventData[Data[@Name='LogonType']='7']
     and
     (System[(EventID='4634')] or System[(EventID='4624')])
     ]</Select>
  </Query>
</QueryList>

Что он

Ответ 6

Для более новых версий Windows (включая, но не ограничиваясь, как Windows 10, так и Windows Server 2016) идентификаторы событий:

  • 4800 - рабочая станция была заблокирована.
  • 4801 - рабочая станция была разблокирована.

Блокировка и разблокировка рабочей станции также включают следующие события входа и выхода из системы:

  • 4624 - успешно зарегистрирована учетная запись.
  • 4634 - Учетная запись была отключена.
  • 4648 - попытка входа в систему была выполнена с использованием явных учетных данных.

При использовании сеанса служб терминалов блокировка и разблокировка могут также включать в себя следующие события, если сеанс отключен, а событие 4778 может заменить событие 4801:

  • 4779 - сеанс был отключен от Window Station.
  • 4778 - Сессия была вновь подключена к Window Station.

События 4800 и 4801 не проверяются по умолчанию и должны быть включены с помощью редактора локальной групповой политики (gpedit.msc) или локальной политики безопасности (secpol.msc).

Путь к политике с использованием редактора локальной групповой политики:

  • Политика локального компьютера
  • Конфигурация компьютера
  • Настройки Windows
  • Настройки безопасности
  • Расширенная настройка политики аудита
  • Политики системного аудита - объект локальной групповой политики
  • Вход/выход
  • Аудит других событий входа/выхода из системы

Путь для политики с использованием локальной политики безопасности - это следующий подмножество пути для редактора локальных групповых политик:

  • Настройки безопасности
  • Расширенная настройка политики аудита
  • Политики системного аудита - объект локальной групповой политики
  • Вход/выход
  • Аудит других событий входа/выхода из системы

Ответ 7

Для Windows 10 идентификатор события для блокировки = 4800 и разблокировка = 4801.

Как сказано в ответе Марио и пользователя 00000, вам необходимо включить ведение журнала событий блокировки и разблокировки, используя их метод, описанный выше, запустив gpedit.msc и перейдя в указанную ветку:

Конфигурация компьютера → Параметры Windows → Параметры безопасности → Расширенная настройка политики аудита → Политики системного аудита - Объект локальной групповой политики → Вход/Выход из системы → Аудит другого входа/выхода

Включить как события успеха, так и события сбоя.

После включения регистрации этих событий вы можете напрямую фильтровать для событий ID 4800 и 4801.

Этот метод работает для Windows 10, поскольку я просто использовал его для фильтрации моих журналов безопасности после блокировки и разблокировки моего компьютера.

Ответ 8

Настройки безопасности → Расширенная политика аудита → Системный аудит → Вход в систему/Выход из системы → Аудит других событий входа/выхода → Успех

Включает следующее:

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Профессиональный профессионал Windows 10