Windows XP、Windows 7、 Windows Vista、およびWindows Server 2008のコンピューターのロック、ロック解除のイベント ビューアーのイベント ID は何ですか?
9 に答える
ロック イベント ID は 4800、ロック解除は 4801 です。これらはセキュリティ ログで確認できます。おそらく、ローカル セキュリティ ポリシー(secpol.msc、Windows XPのローカル セキュリティ設定) ->ローカル ポリシー->監査ポリシーを使用して監査を有効にする必要があります。Windows 10 の場合は、下の図を参照してください。
Windows 7 および Windows Server 2008 R2 のセキュリティ イベントの説明のサブカテゴリ: その他のログオン/ログオフ イベントを参照してください。
新しいバージョンの Windows (Windows 10 と Windows Server 2016 の両方を含むがこれらに限定されない) の場合、イベント ID は次のとおりです。
- 4800 - ワークステーションがロックされました。
- 4801 - ワークステーションのロックが解除されました。
ワークステーションのロックとロック解除には、次のログオン イベントとログオフ イベントも含まれます。
- 4624 - アカウントが正常にログオンしました。
- 4634 - アカウントがログオフされました。
- 4648 - 明示的な資格情報を使用してログオンが試行されました。
ターミナル サービス セッションを使用している場合、セッションが切断されると、ロックとロック解除に次のイベントが含まれる場合があり、イベント 4778 がイベント 4801 を置き換える場合があります。
- 4779 - セッションが Window Station から切断されました。
- 4778 - セッションが Window Station に再接続されました。
イベント 4800 および 4801 は既定では監査されないため、ローカル グループ ポリシー エディタ ( gpedit.msc
) またはローカル セキュリティ ポリシー ( secpol.msc
) を使用して有効にする必要があります。
ローカル グループ ポリシー エディターを使用したポリシーのパスは次のとおりです。
- ローカル コンピュータ ポリシー
- コンピュータの構成
- Windows の設定
- セキュリティ設定
- 高度な監査ポリシーの構成
- システム監査ポリシー - ローカル グループ ポリシー オブジェクト
- ログオン/ログオフ
- その他のログオン/ログオフ イベントを監査する
ローカル セキュリティ ポリシーを使用するポリシーのパスは、ローカル グループ ポリシー エディターのパスの次のサブセットです。
- セキュリティ設定
- 高度な監査ポリシーの構成
- システム監査ポリシー - ローカル グループ ポリシー オブジェクト
- ログオン/ログオフ
- その他のログオン/ログオフ イベントを監査する
残念ながら、ロック/ロック解除のようなものはありません。あなたがしなければならないことは次のとおりです。
- [現在のログをフィルター...] をクリックします。
- [XML] タブを選択し、[クエリを手動で編集] をクリックします。
以下のクエリを入力します。
<クエリリスト> <クエリ ID="0" パス="セキュリティ"> <Select Path="Security"> *[EventData[Data[@Name='LogonType']='7'] と (System[(EventID='4634')] または System[(EventID='4624')]) ]</選択> </クエリ> </クエリリスト>
それでおしまい
ロック解除画面を識別するには、ID 4624 を使用できると思います。しかし、この場合は 7 であるログオン タイプも確認する必要があります。 =4624
ログオフのイベント ID は 4634 です