У меня относительно новая 64-битная установка Windows 7 Professional со всеми примененными исправлениями. Я пытаюсь проверить события сбоя входа в систему, чтобы увидеть, как они выглядят и как они будут выглядеть в нашем инструменте управления журналами. Чтобы проверить, я заблокировал экран, ввел неверный пароль (который, конечно, дал сообщение об ошибке), а затем правильно вошел в систему. Затем я проверил средство просмотра событий, и, к моему удивлению, в журналах безопасности не было событий сбоя входа в систему, но было несколько успешных событий входа в систему!
Изменить: Извините, случайно отправлено. В любом случае, кто-нибудь знает, почему это так? Я не могу найти ничего ни в Системе, ни в Приложении. Кажется огромным упущением, что события неудачного входа не сохраняются по умолчанию.
Кроме того, вот события, которые я вижу в хронологическом порядке, которые связаны с успешным входом в систему:
- Код: 4648 - Аудит успешен: попытка входа в систему с использованием явных учетных данных.
- Код: 4624 - Аудит Успешно: Учетная запись успешно вошла.
- Код: 4624 - Аудит Успешно: Учетная запись успешно вошла.
- Код: 4672 - Аудит Успешно: Специальные привилегии, назначенные для нового входа.
- Код: 4634 - Аудит Успешно: Учетная запись вышла из системы.
- Код: 4634 - Аудит Успешно: Учетная запись вышла из системы.
Эти два сообщения "аккаунт был отключен" для меня тоже не имеют особого смысла, но они совпадают с событиями входа в систему ...