Есть ли способ получить список следующих времен:
- всякий раз, когда окна заблокированы (используя комбинацию windows+l)
всякий раз, когда окна разблокированы
на прошлой неделе?
Я пробовал тыкать в журнал событий, но безрезультатно.
Большое спасибо!
3 ответа
18
Событие с кодом 4800 должно соответствовать рабочей станции, которая была заблокирована, и аналогично, событие с кодом 4801 должно соответствовать рабочей станции, которая была разблокирована.
Если вы не видите их в средстве просмотра событий, для записи будущих событий попробуйте открыть редактор локальной групповой политики (Start / Run / gpedit.msc), перейдя к:
Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита / Политики аудита системы - Объект локальной групповой политики / Вход / Выход из системы / Аудит Другие события входа / выхода из системы
и включение флажков для успеха и неудачи:
1
Я нашел события, соответствующие блокировке и разблокировке в моем журнале событий безопасности Windows 7
4634 Logoff with (WinKey +L)
4624 and 4672 unlocking.
0
В Windows 10 и в активном каталоге выбор идентификатора события и имени пользователя в фильтре не работал, но использование следующего в XML работает:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4648)] and EventData[Data[@Name='TargetUserName']='PUT_YOUR_USERNAME_HERE']]</Select>
</Query>
</QueryList>