事件查看器中锁定和解锁的事件ID

Question

事件查看器中锁定和解锁的事件ID

windowsevent-viewer

72

在Windows XP，Windows 7，Windows Vista和Windows Server 2008中，计算机锁定和解锁的事件ID是什么？

- user1500194

9个回答

44

您需要启用这些事件的日志记录。通过打开组策略编辑器来实现：

运行 -> gpedit.msc

并配置以下类别：

计算机配置 ->
Windows设置 ->
安全设置 ->
高级审核策略配置 ->
系统审核策略-本地组策略对象 ->
登录/注销 ->
审核其他登录/注销事件

（在"解释"选项卡中，它说：“…允许您审计…锁定和解锁工作站”。）

- Mario

“高级审计策略配置” 在 Windows XP 中似乎不可用。 - Peter Mortensen

Peter，你是正确的，高级审核策略配置在XP上不可用。对于不支持加入域的Windows 2008 R2和Win7版本也是如此。请查看http://technet.microsoft.com/en-us/library/dd692792(WS.10).aspx。 - Patrice Calvé

2

非常好的回答。我猜你可以在本地安全策略编辑器中找到相同的菜单，但我喜欢通过 gpedit.msc 到达那里的方式。方便的提示！ - veeTrain

1

谢谢！这正是我在寻找的。补充一下，锁定事件的审核事件将为4800，解锁事件的审核事件将为4801（至少在Windows 10中）。 - Dredok

28

对于较新版本的Windows（包括但不限于Windows 10和Windows Server 2016），其事件ID为：

4800 - 工作站已锁定。
4801 - 工作站已解锁。

锁定和解锁工作站也涉及以下登录和注销事件：

4624 - 帐户成功登录。
4634 - 帐户已注销。
4648 - 尝试使用显式凭据登录。

在使用终端服务会话时，如果会话被断开连接，锁定和解锁可能还涉及以下事件，且事件4778可能替换事件4801：

4779 - 会话从窗口站点断开连接。
4778 - 会话重新连接到窗口站点。

默认情况下不会审核事件4800和4801，必须使用本地组策略编辑器 (gpedit.msc) 或本地安全策略 (secpol.msc) 启用它们。

使用本地组策略编辑器设置该策略的路径为：

本地计算机策略
计算机配置
Windows设置
安全设置
高级审核策略配置
系统审核策略 - 本地组策略对象
登录/注销
审核其他登录/注销事件

使用本地安全策略的策略路径是本地组策略编辑器路径的以下子集：

安全设置
高级审核策略配置
系统审核策略 - 本地组策略对象
登录/注销
审计其他登录/注销事件

- Ryan Prechel

2

我需要的魔法事件ID是“4648-尝试使用显式凭据登录”。谢谢。 - Bae

7

在Vista之前的Windows中要查找的事件ID为528、538和680。528通常代表工作站成功解锁。

新版本Windows的代码不同，请参见下面的答案获取更多信息。

- Shezi

简而言之，Pre-Vista Windows事件[538]“不可靠地记录”。在Pre-VIsta Windows中，528/538不是确定锁定/解锁的确切方法。在Post-vista Windows中，您可以使用新的事件4800/4801。 - Skip R

6

很遗憾，锁定/解锁并不存在。您需要执行以下操作来完成此操作：

单击“筛选当前日志…”
选择XML标签并单击“手动编辑查询”

输入以下查询：

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[EventData[Data[@Name='LogonType']='7']
     and
     (System[(EventID='4634')] or System[(EventID='4624')])
     ]</Select>
  </Query>
</QueryList>

就是这样

- Bruno Marotta

4

为了识别锁屏，我认为您可以使用ID 4624。但是，您还需要查看此案例中的登录类型，该类型为7：http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 注销的事件ID为4634。

- Ingemar

3

安全设置 -> 高级审核策略 -> 系统审核 -> 登录/注销 -> 审核其他登录/注销事件 -> 成功时

启用以下功能：

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Windows 10专业版

- Kevin

2

对于Windows 10，锁定的事件ID为4800，解锁的事件ID为4801。

正如Mario和User 00000提供的答案所述，您需要通过使用他们上面描述的方法启用锁定和解锁事件的日志记录，即运行gpedit.msc并导航到他们指示的分支：

计算机配置 -> Windows设置 -> 安全设置 -> 高级审核策略配置 -> 系统审核策略 - 本地组策略对象 -> 登录/注销 -> 审核其他登录/注销

为成功和失败事件都启用。

启用这些事件的日志记录后，您可以直接过滤事件ID 4800和4801。

这种方法适用于Windows 10，因为我刚刚在锁定和解锁计算机后使用它来过滤我的安全日志。

- Shhhh Digital

1

使用Windows 10家庭版。即使安装了Windows组策略编辑器，启用了所有相关事件的审计并重新启动计算机，我仍无法让事件查看器捕获4800和4801事件。但是，我能够发现与锁定和解锁相关的其他事件，您可以将其用作准确可靠的指标，以确定计算机何时被锁定。请参见以下配置-第一个是PC已锁定（与显示C：\ Windows \ System32 \ LogonUI.exe相关的事件）-第二个是PC已解锁（成功登录的事件）。

- Matthew

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Eran · Accepted Answer

锁定事件ID为4800，解锁事件ID为4801。您可以在安全日志中找到它们。您可能需要使用本地安全策略(secpol.msc，在Windows XP中为本地安全设置)来激活其审计 -> 本地策略 -> 审核策略。如需了解Windows 10，请参见下面的图片。

在Windows 7和Windows Server 2008 R2中的安全事件描述中查看子类别：其他登录/注销事件。