如何使用事件查看器确认用户过滤的登录时间?
5ar*_*arx 16 security windows-7 event-log logging event-viewer
我需要在工作中记录我的开始和结束时间。有时我会忘记这样做,并且有一个好主意,即检查安全事件日志可以让我追溯确定我的时间。
不幸的是,日志比我想象的要大得多,甚至需要一段时间才能在事件查看器中显示。此外,我尝试按日期和用户 ID 过滤日志,但到目前为止还没有产生任何结果。
假设我的想法是可行的,任何人都可以逐步完成我需要做的事情来检索我需要的信息吗?
更新:
我按照@surfasb 的说明进行操作,得到了只能看到登录信息的地方,但其中一些是系统级(即非人类)登录信息。我只想看到我的“物理”登录(工作日只有两三个这样的事件),而不是所有其他内容。
我已经尝试将我的 Windows 用户名放在字段中,如下所示,使用两者domain\username和只是,username但这只会过滤掉所有内容。你能帮忙吗?
sur*_*asb 10
默认配置使它相当混乱。这是因为 Windows 还会跟踪您必须登录到网络计算机的任何时间。它还会跟踪您的计算机帐户(而非用户帐户)每次创建登录会话时的情况。
您应该使用审计帐户登录选项而不是审计登录选项。
您正在寻找的事件将具有您帐户的完全限定域名。例如,如果您不在域中,则您要查找的搜索文本是 computer_name / account_name。
编辑
另一个想法是创建登录和注销脚本。根据您的 Windows 7 版本,您可以使用gpedit.msc来调出组策略控制台。
然后你只需要一个包含命令的批处理文件logevent "My login/logoff event" -e 666。此事件将显示在应用程序日志中
编辑
如果您不在域中,这会更容易。如果您进入本地安全/本地策略/安全选项,请查找“强制审核...”选项。我忘记了它的名字。但是禁用它。这将使安全日志不那么冗长,因为在某些情况下,在控制台登录的用户共享相同的事件 ID。您要查找的一些事件 ID:
- 事件 4647 - 这是当您点击注销、重新启动、关闭按钮时。Windows 更新重新启动您的计算机有时也会引发此事件:(
- 事件 4648 - 这是当一个进程(包括登录屏幕)使用您的显式凭据而不是令牌登录时。这包括 Runas 命令和很多时候,备份程序。
- 事件 4800 - 当您的工作站被锁定时,例如按 WIN + L
- 事件 4801 - 当您的工作站解锁时
通常,您可以通过使用事件 4647 和 4648 来获得。不幸的是,没有确定的触发方法,因为在您登录和注销计算机时会发生一千件事。
为此,在工作中,我们寻找要触发的登录脚本,并在注销时寻找两个程序以及一个同步事件,作为确定的触发事件,这是值得的。
| 归档时间: |
|
| 查看次数: |
101704 次 |
| 最近记录: |