这一切都在安全事件日志中。交互式登录、网络登录、本地登录、通过 RDP 登录……您的安全事件日志是否可以存储数周的事件取决于您的服务器的繁忙程度以及您的事件日志配置的大小。
三位数的事件 ID 适用于旧版本的 Windows。相应的 4 位事件 ID 适用于较新 (Vista+) 版本的 Windows。
512 / 4608 STARTUP
513 / 4609 SHUTDOWN
528 / 4624 LOGON
538 / 4634 LOGOFF
551 / 4647 BEGIN_LOGOFF
N/A / 4778 SESSION_RECONNECTED
N/A / 4779 SESSION_DISCONNECTED
N/A / 4800 WORKSTATION_LOCKED
* / 4801 WORKSTATION_UNLOCKED
N/A / 4802 SCREENSAVER_INVOKED
N/A / 4803 SCREENSAVER_DISMISSED
您可能还对配置高级审计策略感兴趣:
https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx
它们允许您捕获比默认情况下更详细的事件。但是没有必要仅仅捕获基本的“用户刚刚登录”类型的事件。但是要小心记录太多......过多的记录会使您的事件日志变得混乱。
事件 ID 4624 例如:
| 归档时间: |
|
| 查看次数: |
14261 次 |
| 最近记录: |