锁定和解锁的事件查看器事件ID

Question

事件查看器中的事件ID是什么，用于锁定，解锁Windows XP，Windows 7，Windows Vista和Windows Server 2008中的计算机？

Answer 1

锁定事件ID为4800，解锁为4801.您可以在安全日志中找到它们。您可能必须activate their auditing使用本地安全策略（Windows XP中的secpol.msc，本地安全设置） - ＆gt; 本地政策 - ＆gt; 审核政策。对于Windows 10，请参见下图。

查看子类别：其他登录/注销事件下的 Description of security events in Windows 7 and in Windows Server 2008 R2 。

Answer 2

您需要启用这些事件的记录。通过打开组策略编辑器来执行此操作：

  

运行 - ＆gt; GPEDIT.MSC

并配置以下类别：

  

计算机配置 - ＆gt;
   Windows设置 - ＆gt;
  安全设置 - ＆gt;
  高级审核策略配置 - ＆gt;
  系统审核策略 - 本地组策略对象 - ＆gt;
  登录/注销 - ＆gt;
  审核其他登录/注销事件

（在 Explain 标签中，它说“...允许您审核......锁定和解锁工作站”。）

Answer 3

要在Vista之前的Windows中查找的事件ID为528，538和680。 528通常代表成功解锁工作站。

较新的Windows版本的代码有所不同，请参阅以下答案以获取更多信息。

Answer 4

要识别解锁屏幕，我相信你可以使用ID 4624.但是你还需要查看登录类型，在这种情况下是7：http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

Logoff的事件ID是4634

Answer 5

不幸的是没有Lock / Unlock这样的东西。你要做的是：

1. 点击＆＃34;过滤当前日志...＆＃34;
2. 选择XML标签，然后点击＆＃34;手动编辑查询＆＃34;

3. 输入以下查询：

   <QueryList>
     <Query Id="0" Path="Security">
       <Select Path="Security">
       *[EventData[Data[@Name='LogonType']='7']
        and
        (System[(EventID='4634')] or System[(EventID='4624')])
        ]</Select>
     </Query>
   </QueryList>
   

那是

Answer 6

对于较新版本的Windows（包括但不限于Windows 10和Windows Server 2016），事件ID为：

• 4800-工作站已锁定。
• 4801-工作站已解锁。

锁定和解锁工作站还涉及以下登录和注销事件：

• 4624-一个帐户已成功登录。
• 4634-一个帐户已注销。
• 4648-尝试使用显式凭据登录。

在使用终端服务会话时，如果会话断开连接，则锁定和解锁也可能涉及以下事件，并且事件4778可以代替事件4801：

• 4779-会话已从Window Station断开。
• 4778-会话已重新连接到Window Station。

事件4800和4801默认情况下不进行审核，必须使用本地组策略编辑器（gpedit.msc）或本地安全策略（secpol.msc）启用。

使用“本地组策略编辑器”的策略路径为：

• 本地计算机策略
• 计算机配置
• Windows设置
• 安全设置
• 高级审核策略配置
• 系统审核策略-本地组策略对象
• 登录/注销
• 审核其他登录/注销事件

使用“本地安全策略”的策略的路径是“本地组策略编辑器”的路径的以下子集：

• 安全设置
• 高级审核策略配置
• 系统审核策略-本地组策略对象
• 登录/注销
• 审核其他登录/注销事件

Answer 7

安全设置->高级审核策略->系统审核->登录/注销->审核其他登录/关闭事件->成功后

启用以下内容：

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Windows 10专业版

Answer 8

对于Windows 10，lock = 4800和unlock = 4801的事件ID。

正如Mario和用户00000提供的答案中所述，您需要通过运行gpedit.msc并导航到他们指示的分支，使用上述方法启用锁定和解锁事件的记录：

  

计算机配置 - ＆gt;   Windows设置 - ＆gt;   安全设置 - ＆gt;   高级审核策略配置 - ＆gt;   系统审核策略 - 本地组策略对象 - ＆gt;   登录/注销 - ＆gt;   审核其他登录/注销

启用成功和失败事件。

启用这些事件的日志记录后，您可以直接过滤事件ID 4800和4801.

此方法适用于Windows 10，因为我在锁定和解锁计算机后用它来过滤我的安全日志。

Answer 9

使用Windows 10家庭版。即使安装了Windows组策略编辑器，对所有相关事件进行审核并重新启动计算机，我也无法使事件查看器捕获事件4800和4801。但是，我能够发现与锁定和解锁有关的其他事件，可以将其用作锁定计算机的准确可靠的指示。请参阅下面的配置-第一个用于PC锁定（连接到显示C：\ Windows \ System32 \ LogonUI.exe的事件）-第二个用于PC锁定（成功登录的事件）。