1

(для справки, см .: В Windows 7, Как запрашивать время, когда компьютер был заблокирован?)

Кажется, что есть два совершенно отдельных события, которые могут генерироваться в журнале событий Windows, когда машина заблокирована / разблокирована:

  • 4800 и 4801 - требуется параметр групповой политики, чтобы включить их
  • 4624 и 4634 (с типом входа в систему, установленным на 7) - всегда включен (?)

Я предполагаю, что эти события не являются точными копиями друг друга, поэтому, вероятно, между ними есть тонкая семантическая разница, которую я пропустил. В чем эта разница? Какие ситуации (кроме отключенного ведения журнала) могут привести к тому, что одно будет зарегистрировано без другого?

1 ответ1

2

В чем разница между событиями Windows 4801 и 4624?

  • Событие с кодом 4624 генерируется, когда учетная запись успешно входит в систему.
  • Событие с кодом 4801 генерируется, когда рабочая станция разблокирована.
  • Вы получаете оба этих события, когда пользователь разблокирует рабочую станцию.

Если пользователь блокирует рабочую станцию, а затем немедленно разблокирует рабочую станцию, регистрируются следующие события (прочитанные снизу вверх на изображении):

  • 4800 Рабочая станция была заблокирована
  • 4648 Попытка входа в систему с использованием явных учетных данных
  • 4624 Аккаунт был успешно авторизован
  • 4672 Специальные привилегии, назначенные для нового входа
  • 4801 Рабочая станция была разблокирована

4801: рабочая станция была разблокирована

  • Когда пользователь разблокирует свою рабочую станцию, вы увидите это событие.

  • Чтобы узнать, когда рабочая станция была ранее заблокирована, посмотрите назад на время для события с кодом 4800.

  • Если используется экранная заставка, существует также связь между этим событием и 4802 (активированная заставка) и 4803 (хранящаяся заставка отклонена).

  • Для интерактивных входов вы можете увидеть это событие или 4803.

Источник 4801: Рабочая станция была разблокирована


4624: учетная запись была успешно залогинена

  • Это очень ценное событие, поскольку оно документирует каждую успешную попытку входа на локальный компьютер независимо от типа входа, местоположения пользователя или типа учетной записи.
  • Вы можете связать это событие с событиями выхода из системы 4634 и 4647, используя идентификатор входа.

Источник 4624: учетная запись была успешно залогинена


Дальнейшее чтение

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .