Windows 7: Was ist die Ereignis-ID für ein Sperrereignis und wie kann festgestellt werden, ob es vom Benutzer initiiert wurde oder nicht?

Das folgende eventvwr.exe Ereignis bezieht sich auf ein screen unlock event:

Ereignis ID 4624 (zugang typ: 7) (bildschirm entsperren)

Jetzt muss ich die screen lock event finden, damit ich die Zeit zwischen dem Verlassen der Wohnung und dem Sperren des Bildschirms vergleichen kann. Wenn der Unterschied größer ist als die Bildschirmsperrzeit in der Systemsteuerung, weiß ich, dass sich jemand angemeldet hat, während ich weg war. Danke.

HINWEIS:

Ich bin verwirrt, weil dieser Beitrag, erzählt ein anderer Geschichte.

Author: Community, 2015-10-28
Source

1 answers

Was ist die Ereignis-ID für ein Sperrereignis und wie kann festgestellt werden, ob es vom Benutzer initiiert wurde oder nicht?

Wenn ein Benutzer die Workstation sperrt und die Workstation dann sofort entsperrt, werden die folgenden Ereignisse protokolliert (von unten nach oben im Bild gelesen):

geben Sie hier die Bildbeschreibung ein

  • 4800 Die Workstation wurde gesperrt
  • 4648 Eine Anmeldung wurde mit expliziten Anmeldeinformationen versucht
  • 4624 Ein Konto wurde erfolgreich angemeldet
  • 4672 Sonderrechte zugewiesen neue Anmeldung
  • 4801 Die Workstation wurde entsperrt

4800: Die Workstation wurde gesperrt

  • Wenn entweder ein Benutzer seine Workstation manuell sperrt oder die Workstation ihre Konsole nach einer Zeit der Inaktivität automatisch sperrt, ereignis wird protokolliert.
  • Um herauszufinden, wann der Benutzer die Workstation zurückgegeben und entsperrt hat, suchen Sie nach der Ereignis-ID 4801.
  • Wenn ein Bildschirmschoner verwendet wird, besteht eine Beziehung zwischen diesem Ereignis und 4802/4803 Ereignis-ID 4802 für eine Erklärung der reihenfolge der Ereignisse.

Beschreibung Felder

Der Benutzer und die Anmeldesitzung beteiligt.

  • Sicherheits-ID: Die SID des Kontos.
  • Kontoname: Der Anmeldename des Kontos.
  • Kontodomäne: Die Domäne oder - bei lokalen Konten-Computername.
  • Die Anmelde-ID ist eine semi-eindeutige (zwischen Neustarts eindeutige) Nummer, die die Anmeldesitzung identifiziert. Anmelde-ID ermöglicht sie zu korrelieren rückwärts zum Anmeldeereignis (4624) sowie zu anderen Ereignissen während derselben Anmeldesitzung protokolliert.

Quelle 4800: Die Workstation wurde gesperrt

4801: Die Workstation wurde entsperrt

  • Wenn ein Benutzer seine Workstation entsperrt, wird dieses Ereignis angezeigt.

  • Um herauszufinden, wann die Workstation zuvor gesperrt war, schauen Sie rechtzeitig nach der Ereignis-ID 4800.

  • Wenn ein Bildschirmschoner verwendet wird, besteht auch eine Beziehung zwischen diesem Ereignis und 4802 (aufgerufener Bildschirmschoner) und 4803 (Bildschirmschoner entlassen).

  • Für interaktive Anmeldungen können Sie dieses Ereignis oder 4803 sehen.

Quelle 4801: Die Workstation wurde entsperrt

4624: Ein Konto wurde erfolgreich angemeldet

  • Dies ist ein sehr wertvolles Ereignis, da es jeden erfolgreichen Anmeldeversuch dokumentiert der lokale Computer unabhängig von der Anmeldung typ, Standort des Benutzers oder Kontotyps.
  • Sie können dieses Ereignis mit der Anmelde-ID an die Abmeldeereignisse 4634 und 4647 binden.

Quelle 4624: Ein Konto wurde erfolgreich angemeldet

Was ist der Unterschied zwischen den Windows-Ereignissen 4801 und 4624?

  • Die Ereignis-ID 4624 wird generiert, wenn sich ein Konto erfolgreich anmeldet.
  • Ereignis-ID 4801 wird generiert, wenn die Workstation freigeschaltet.
  • Sie erhalten beide Ereignisse, wenn ein Benutzer die Workstation entsperrt.

Weiterlesen

 2
Author: DavidPostill,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-10-28 22:24:13