那些遇到过的问题

用于启动/关闭锁定/解锁的 Windows 事件代码

Dan*_*son 4 windows windows-event-log eventviewer

我正在尝试建立一个事件 ID 列表,可用于确定机器何时关闭、启动、锁定和解锁。到目前为止,我发现了 6 个似乎是最佳候选者的事件 ID,但我想知道是否有更好的方法来确定它。

以下是我发现来自“电源故障排除程序”、“User32”、“EventLog”和“Microsoft Windows 安全审核”来源的有用的事件 ID 列表(1、1074、6005、6006、4800、4801) . 这些来自 Windows 10 (v1511),目前 Windows 10 是我唯一的目标要求,因为这是所有客户端计算机运行的内容。

事件 ID 列表

这是我建立的一个示例过滤器查询

<QueryList>
  <Query Id="0" Path="System">
    <!-- Shutdown -->
    <Select Path="System">*[System[Provider[@Name='User32'] and (EventID=1074) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Event Service Stop/Start -->
    <Select Path="System">*[System[Provider[@Name='eventlog'] and (EventID=6005 or EventID=6006) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Startup -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Power-Troubleshooter'] and (EventID=1) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>

    <!-- Machine Lock/Unlock -->
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4800 or EventID=4801) and TimeCreated[@SystemTime &gt;= '2017-11-28T00:00:00.0000000']]]</Select>
  </Query>
</QueryList>
Run Code Online (Sandbox Code Playgroud)

我故意将查询中的源分开,它们可以连接在一起,但这牺牲了 IMO 的可读性。

我的问题是是否有更好的事件 ID 组或更好的查询可以使用?是否有我遗漏或我正在加倍关注的事件 ID?

附加:
有时(例如,如果您在托管域中),您可能需要通过本地组策略编辑器 (gpedit) 启用登录和注销事件。您可以按照以下步骤执行此操作:

  1. 打开Task Manager然后File> Run new task
  2. 键入gpedit.msc并选中Create this task with administrative privileges.),然后单击“确定”。
  3. 在本地组策略编辑器中,转到Computer Configuration> Windows Settings> Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object> Logon/Logoff
  4. 在侧面板中,确保以下类别已设置为Success and Failure。如果不是,请双击并启用它们:
    • Audit Other Login/Logoff Events (成功与失败)
    • Audit Logon (成功与失败)
    • Audit Logoff (成功与失败)

小智 7

参考您关于启动和关闭事件 ID 的请求,我根据 Windows 10 机器制作了以下列表。主要的一点是,根据关机动作(计划重启、计划关机、意外关机或 LSASS 进程崩溃),生成的事件会有所不同:

  • 1074 进程 Explorer.EXE 已代表用户启动计算机关闭,原因如下: 其他(计划外)
  • 6006 事件日志服务已停止。
  • 109 内核电源管理器已启动关闭转换。
  • 13 操作系统在系统时间关闭?
  • 20 上次关机的成功状态为真。上次启动的成功状态为真。
  • 12 操作系统在系统时间启动
  • 6005 事件日志服务已启动。
  • 6013 系统正常运行时间为 10 秒。

为了清楚地了解这些不同的关机操作,我制作了下表。希望它会有所帮助。

关闭事件

归档时间:

查看次数:

27048 次

最近记录:

4 年,4 月 前
相关归档
Windows 文件和文件夹“属性”A 或 C 24
清除 %WinDir%\assembly\NativeImages*\Temp\ 是否安全? 9
Windows 2003 是否支持 TLS 1.1 和 1.2? 7
如何使用随机密码为 Windows 创建新的公共 AMI? 6
使用 Windows 故障转移集群或 Proxmox 构建低成本、高可用性集群 5
我无法从另一台机器连接到 MySql 3
您如何以最少的问题为管理员和用户更换 Windows 服务器? 2
如何知道局域网计算机上可用的用户帐户? 1
为什么最大频率显示高?在任务管理器中 1
重置管理员通行证 - 域控制器消失 0
难疑归档
如何确定bash变量是否为空? 870
如何运行 Debian 稳定版但安装一些测试包? 236
如何以友好的格式读取 pcap 文件? 153
如何找到文件系统的 UUID 142
立即手动运行 cron 作业 134
使用 wget 递归下载整个 FTP 目录 110
ServerName 和 ServerAlias 如何工作? 84
这个 IP 地址是什么:169.254.169.254? 82
Xen PV、Xen KVM 和 HVM 的区别? 55
如何使用 nginx 代理到需要身份验证的主机? 55