Eventviewer eventid pour verrouiller et déverrouiller

qu'est-Ce que l'id d'événement dans l'Observateur d'Événements pour verrouiller, déverrouiller pour un ordinateur Windows XP, Windows 7, Windows Vista et Windows Server 2008?

44
demandé sur Peter Mortensen 2012-07-08 21:31:01

7 réponses

les identificateurs d'événements à rechercher dans les fenêtres pré-Vista sont 528, 538 et 680. 528 signifie habituellement déverrouillage réussi de la station de travail.

les codes des nouvelles versions de Windows diffèrent, voir les réponses ci-dessous pour plus d'informations.

3
répondu Athar Anis 2016-05-31 08:30:49

L'ID de l'événement de verrouillage est 4800, et le déverrouillage est 4801. Vous pouvez les trouver dans les journaux de Sécurité. Vous avez probablement activer l'audit en utilisant Politique De Sécurité Locale (secpol.msc, Paramètres De Sécurité Locale dans Windows XP) -> Politiques Locales -> Politique De Vérification.

Description des événements de sécurité dans Windows 7 et Windows Server 2008 R2 sous Sous-Catégorie: Autres Événements De Connexion/Fermeture De Session.

61
répondu eran 2013-06-19 11:48:20

vous devrez activer la journalisation de ces événements. Pour ce faire, ouvrez l'éditeur de stratégie de groupe:

exécuter -> gpedit.msc

et configurer la catégorie suivante:

Configuration De L'Ordinateur ->

Paramètres De Windows ->

Paramètres De Sécurité ->

Configuration Avancée De La Politique D'Audit - >

Politiques De Vérification Du Système-Objet De La Politique Du Groupe Local ->

Ouverture/Fermeture De Session ->

Vérification D'Autres De Connexion/Déconnexion Des Événements

(Expliquer onglet qu'il dit "... permet de faire une vérification ... Verrouillage et déverrouillage d'un poste de travail".)

34
répondu Mario 2016-08-05 01:50:13

pour identifier l'écran de déverrouillage je crois que vous pouvez utiliser L'ID 4624. Mais vous devez aussi regarder le type de connexion qui dans ce cas est 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

ID de l'Événement de Fermeture de session est 4634

4
répondu Ingemar 2014-03-19 10:18:46

malheureusement, il n'y a pas de verrouillage/déverrouillage. Ce que vous avez à faire c'est:

  1. cliquez sur " Filter Current Log..."
  2. Sélectionnez l'onglet XML et cliquez sur "Modifier la requête"

  3. entrez la requête suivante:

    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[EventData[Data[@Name='LogonType']='7']
     and
     (System[(EventID='4634')] or System[(EventID='4624')])
     ]</Select>
  </Query>
</QueryList>

C'est

4
répondu Bruno Marotta 2015-02-13 09:33:30

Pour Windows 10, L'ID d'événement pour lock=4800 et unlock=4801.

comme il est dit dans la réponse fournie par Mario et L'utilisateur 00000, vous aurez besoin d'activer la journalisation des événements de verrouillage et de déverrouillage en utilisant leur méthode décrite ci-dessus en exécutant gpedit.msc et navigation vers la Direction générale ils ont indiqué:

Configuration De L'Ordinateur -> Paramètres De Windows - > Paramètres De Sécurité -> Configuration Avancée De La Politique D'Audit -> Politiques De Vérification Des Systèmes-Politique Du Groupe Local Objet>- Ouverture/Fermeture De Session -> Audit Autres Login / Logoff

permet à la fois des événements de succès et d'échec.

après avoir activé la journalisation de ces événements, vous pouvez filtrer les ID D'événement 4800 et 4801 directement.

cette méthode fonctionne pour Windows 10 car je viens de l'utiliser pour filtrer mes journaux de sécurité après avoir verrouillé et déverrouillé mon ordinateur.

0
répondu Brian Johns 2018-05-24 17:08:15

pour les nouvelles versions de Windows (incluant mais non limité à Windows 10 et Windows Server 2016), les ID d'événements sont:

  • 4800-le poste de travail était verrouillé.
  • 4801-le poste de travail était déverrouillé.

le verrouillage et le déverrouillage d'un poste de travail impliquent également les événements de connexion et de déconnexion suivants:

  • 4624-un compte a été ouvert avec succès.
  • 4634 - Un compte a été déconnecté.
  • 4648 - Une connexion a été tentée en utilisant des justificatifs d'identité explicites.

lors de l'utilisation d'une session de services de Terminal, le verrouillage et le déverrouillage peuvent également impliquer les événements suivants si la session est déconnectée, et l'événement 4778 peut remplacer l'événement 4801:

  • 4779-une session a été déconnectée d'un hublot.
  • 4778-une session a été reconnectée à une station Windows.

les événements 4800 et 4801 ne sont pas audités par défaut, et doivent être activés en utilisant Local Éditeur de Stratégie de Groupe (gpedit.msc) ou une politique de sécurité locale (secpol.msc).

le chemin pour la politique en utilisant L'éditeur de politique de groupe Local est:

  • Politique Informatique Locale
  • Configuration De L'Ordinateur
  • Paramètres De Windows
  • Paramètres De Sécurité
  • Configuration Avancée De La Politique De Vérification
  • Politiques De Vérification Du Système-Objet De La Politique Du Groupe Local
  • Ouverture/Fermeture De Session
  • Vérification Autre Connexion / Connexion Les événements
  • Paramètres De Sécurité
  • Configuration Avancée De La Politique De Vérification
  • Politiques De Vérification Du Système-Objet De La Politique Du Groupe Local
  • Ouverture/Fermeture De Session
  • Vérification De Connexion/Déconnexion Des Événements
0
répondu Ryan Prechel 2018-08-01 18:12:48