事件查看器eventidlocking和解锁
在Windows XP,Windows 7, Windows Vista和Windows Server 2008中 ,事件查看器中的事件ID是否locking,解锁的计算机是什么?
在Vista之前的Windows中查找的事件ID是528,538和680 。 528通常代表工作站成功解锁。
较新的Windows版本的代码不同,请参阅下面的答案更多的信息。
locking事件ID是4800,解锁是4801.您可以在安全日志中find它们。 您可能必须使用本地安全策略 (secpol.msc,Windows XP中的本地安全设置 ) – > 本地策略 – > 审核策略 激活审核 。
在“ 子类别:其他login/注销事件”下查找Windows 7和Windows Server 2008 R2中安全事件的描述 。
您将需要启用这些事件的logging。 通过打开组策略编辑器来执行此操作:
运行 – > gpedit.msc
并configuration以下类别:
计算机configuration – >
Windows设置 – >
安全设置 – >
高级审核策略configuration – >
系统审计策略 – 本地组策略对象 – >
login/注销 – >
审计其他login/注销事件
(在“ 说明”选项卡中显示“…允许您审核…locking和解锁工作站”。)
要确定解锁屏幕,我相信你可以使用ID 4624.但是,你也需要看看在这种情况下是7的logintypes: http ://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid = 4624
注销的事件ID是4634
不幸的是没有locking/解锁这样的事情。 你必须做的是:
- 点击“过滤当前日志…”
- selectXML选项卡并点击“手动编辑查询”
-
input以下查询:
<QueryList> <Query Id =“0”Path =“Security”> <selectpath=“安全”> * [EVENTDATA [数据[@名称= 'logintypes'] = '7'] 和 (System [(EventID ='4634')]或System [(EventID ='4624')]) ] </select> </查询> </ QueryList>
而已