Следующее событие eventvwr.exe относится к screen unlock event:

Событие с кодом 4624 (тип доступа: 7) (разблокировка экрана)

Теперь мне нужно найти screen lock event , чтобы я мог сравнить время, когда я покинул квартиру и когда экран заблокирован. Если разница больше, чем установлено в качестве времени блокировки экрана на панели управления, я буду знать, что кто-то вошел в систему, пока меня не было. Благодарю.

НОТА:

Я запутался, потому что этот пост рассказывает другую историю.

|источник

1 ответ1

2

Что такое идентификатор события блокировки и как определить, инициирован ли он пользователем или нет?

Если пользователь блокирует рабочую станцию, а затем немедленно разблокирует рабочую станцию, регистрируются следующие события (прочитанные снизу вверх на изображении):

  • 4800 Рабочая станция была заблокирована
  • 4648 Попытка входа в систему с использованием явных учетных данных
  • 4624 Аккаунт был успешно авторизован
  • 4672 Специальные привилегии, назначенные для нового входа
  • 4801 Рабочая станция была разблокирована

4800: рабочая станция была заблокирована

  • Когда пользователь вручную блокирует свою рабочую станцию или рабочая станция автоматически блокирует свою консоль после периода бездействия, это событие регистрируется.
  • Чтобы узнать, когда пользователь вернулся и разблокировал рабочую станцию, найдите событие с кодом 4801.
  • Если используется экранная заставка, существует связь между этим событием и 4802/4803. См. Идентификатор события 4802 для объяснения последовательности событий.

Описание Поля

Сеанс пользователя и входа в систему.

  • Идентификатор безопасности: SID учетной записи.
  • Имя учетной записи: имя для входа в учетную запись.
  • Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
  • Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

Источник 4800: рабочая станция была заблокирована

4801: рабочая станция была разблокирована

  • Когда пользователь разблокирует свою рабочую станцию, вы увидите это событие.

  • Чтобы узнать, когда рабочая станция была ранее заблокирована, посмотрите назад на время для события с кодом 4800.

  • Если используется экранная заставка, существует также связь между этим событием и 4802 (активированная заставка) и 4803 (хранящаяся заставка отклонена).

  • Для интерактивных входов вы можете увидеть это событие или 4803.

Источник 4801: Рабочая станция была разблокирована

4624: учетная запись была успешно залогинена

  • Это очень ценное событие, поскольку оно документирует каждую успешную попытку входа на локальный компьютер независимо от типа входа, местоположения пользователя или типа учетной записи.
  • Вы можете связать это событие с событиями выхода из системы 4634 и 4647, используя идентификатор входа.

Источник 4624: учетная запись была успешно залогинена

В чем разница между событиями Windows 4801 и 4624?

  • Событие с кодом 4624 генерируется, когда учетная запись успешно входит в систему.
  • Событие с кодом 4801 генерируется, когда рабочая станция разблокирована.
  • Вы получаете оба этих события, когда пользователь разблокирует рабочую станцию.

Дальнейшее чтение

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .