64

Windows XP、Windows 7、 Windows Vista、およびWindows Server 2008のコンピューターのロック、ロック解除のイベント ビューアーのイベント ID は何ですか?

4

9 に答える 9

90

ロック イベント ID は 4800、ロック解除は 4801 です。これらはセキュリティ ログで確認できます。おそらく、ローカル セキュリティ ポリシー(secpol.msc、Windows XPのローカル セキュリティ設定) ->ローカル ポリシー->監査ポリシーを使用して監査を有効にする必要があります。Windows 10 の場合は、下の図を参照してください。

Windows 7 および Windows Server 2008 R2 のセキュリティ イベントの説明のサブカテゴリ: その他のログオン/ログオフ イベントを参照してください。

Windows 10 のその他のログオン/ログオフ イベント

于 2012-07-08T17:43:01.220 に答える
19

新しいバージョンの Windows (Windows 10 と Windows Server 2016 の両方を含むがこれらに限定されない) の場合、イベント ID は次のとおりです。

  • 4800 - ワークステーションがロックされました。
  • 4801 - ワークステーションのロックが解除されました。

ワークステーションのロックとロック解除には、次のログオン イベントとログオフ イベントも含まれます。

  • 4624 - アカウントが正常にログオンしました。
  • 4634 - アカウントがログオフされました。
  • 4648 - 明示的な資格情報を使用してログオンが試行されました。

ターミナル サービス セッションを使用している場合、セッションが切断されると、ロックとロック解除に次のイベントが含まれる場合があり、イベント 4778 がイベント 4801 を置き換える場合があります。

  • 4779 - セッションが Window Station から切断されました。
  • 4778 - セッションが Window Station に再接続されました。

イベント 4800 および 4801 は既定では監査されないため、ローカル グループ ポリシー エディタ ( gpedit.msc) またはローカル セキュリティ ポリシー ( secpol.msc) を使用して有効にする必要があります。

ローカル グループ ポリシー エディターを使用したポリシーのパスは次のとおりです。

  • ローカル コンピュータ ポリシー
  • コンピュータの構成
  • Windows の設定
  • セキュリティ設定
  • 高度な監査ポリシーの構成
  • システム監査ポリシー - ローカル グループ ポリシー オブジェクト
  • ログオン/ログオフ
  • その他のログオン/ログオフ イベントを監査する

ローカル セキュリティ ポリシーを使用するポリシーのパスは、ローカル グループ ポリシー エディターのパスの次のサブセットです。

  • セキュリティ設定
  • 高度な監査ポリシーの構成
  • システム監査ポリシー - ローカル グループ ポリシー オブジェクト
  • ログオン/ログオフ
  • その他のログオン/ログオフ イベントを監査する
于 2018-08-01T18:12:48.120 に答える
7

Vista より前の Windows で検索するイベント ID は、528538、および680です。528 は通常、ワークステーションのロック解除が成功したことを表します。

新しい Windows バージョンのコードは異なります。詳細については、以下の回答を参照してください。

于 2012-07-08T17:39:53.500 に答える
6

残念ながら、ロック/ロック解除のようなものはありません。あなたがしなければならないことは次のとおりです。

  1. [現在のログをフィルター...] をクリックします。
  2. [XML] タブを選択し、[クエリを手動で編集] をクリックします。
  3. 以下のクエリを入力します。

    <クエリリスト>
      <クエリ ID="0" パス="セキュリティ">
        <Select Path="Security">
        *[EventData[Data[@Name='LogonType']='7']
         と
         (System[(EventID='4634')] または System[(EventID='4624')])
         ]</選択>
      </クエリ>
    </クエリリスト>
    

それでおしまい

于 2015-02-13T09:33:30.173 に答える
4

ロック解除画面を識別するには、ID 4624 を使用できると思います。しかし、この場合は 7 であるログオン タイプも確認する必要があります。 =4624

ログオフのイベント ID は 4634 です

于 2014-03-19T10:18:46.897 に答える