43
Id sự kiện trong Trình xem sự kiện cho khóa, mở khóa cho máy tính trong Windows XP, Windows 7, Windows Vista và Windows Server 2008 là gì?Eventviewer eventid cho khóa và mở khóa
A
Trả lời
3
56
ID sự kiện khóa là 4800 và mở khóa là 4801. Bạn có thể tìm thấy chúng trong Nhật ký bảo mật. Bạn có thể phải sử dụng activate their auditingLocal Security Policy (secpol.msc, Security Settings Local trong Windows XP) -> Local Policies ->Audit Policy.
Tìm trong Description of security events in Windows 7 and in Windows Server 2008 R2 dưới Danh mục phụ: Sự kiện đăng nhập/đăng xuất khác.
32
Bạn cần bật ghi nhật ký các sự kiện này. Làm như vậy bằng cách mở trình soạn chính sách nhóm:
chạy -> gpedit.msc
và cấu hình các loại sau đây:
Computer Configuration ->
Windows Settings ->
Cài đặt bảo mật ->
nâng cao Kiểm toán Chính sách Cấu hình ->
Hệ thống Chính sách kiểm toán - Local Group Policy Object ->
Logon/Logoff ->
Kiểm toán Khác Đăng nhập/Logoff Sự kiện
(Trong tab Giải thích, thẻ này cho biết "... cho phép bạn kiểm tra ... Khóa và mở khóa máy trạm".)
+0
"Cấu hình chính sách kiểm tra nâng cao" dường như không có sẵn trong Windows XP. –
+0
Peter, bạn chính xác, Cấu hình chính sách kiểm tra nâng cao không có sẵn cho XP. Nó cũng đúng đối với các phiên bản Windows 2008 R2 và Win7 không hỗ trợ tham gia một miền. Kiểm tra http://technet.microsoft.com/en-us/library/dd692792 (WS.10).aspx –
+0
Câu trả lời hay. Tôi đoán bạn có thể tìm thấy trình đơn tương tự ở đây cũng như trình soạn thảo Chính sách bảo mật cục bộ nhưng tôi thích cách bạn có thể đến đó bằng 'gpedit.msc'. Mẹo tiện dụng! – veeTrain
4
Để xác định màn hình unlock Tôi tin rằng bạn có thể sử dụng ID 4624. Nhưng sau đó bạn cũng cần phải nhìn vào Type Logon mà trong trường hợp này là 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624
ID sự kiện cho Logoff là 4634
3
Thật không may không có một thứ như Khóa/Mở khóa. Những gì bạn phải làm là:
- Nhấp vào "Lọc nhật ký hiện tại ..."
- Chọn tab XML và click vào 'Chỉnh sửa truy vấn bằng tay'
Nhập truy vấn dưới đây:
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='LogonType']='7'] and (System[(EventID='4634')] or System[(EventID='4624')]) ]</Select> </Query> </QueryList>
Vậy đó
Cảm ơn bạn Đây là chỉ là những gì tôi đang tìm kiếm cho và dễ dàng hơn nhiều để nắm bắt và phân tích hơn loại kết quả chính sách 'kiểm tra sự kiện đăng nhập' khác. Tìm thấy các cài đặt của tôi cho công cụ 'Security Security Policy' của Windows 7 trong 'Security Settings-> Advanced Audit Policy Configuration-> System Audit Policies - Đối tượng chính sách nhóm cục bộ-> Đăng nhập/Logoff-> Kiểm tra các sự kiện đăng nhập/đăng xuất khác' đã khóa và mở khóa máy trạm trên miền. – veeTrain
4800 & 4801 cũng hoạt động đối với Windows 10. – Vej