用于锁定和解锁的事件查看器标识

事件查看器中用于锁定的事件标识，Windows中的计算机解锁 XP，Windows 7，Windows Vista和Windows Server 2008？用于锁定和解锁的事件查看器标识

2012-07-08 user1500194

在Vista之前的Windows中查找的事件ID是528,538和680。 528通常代表工作站成功解锁。

新版Windows版本的代码不同，请参阅下面的答案以获取更多信息。

2012-07-08 17:39:53

锁定事件ID是4800，解锁是4801.您可以在安全日志中找到它们。你可能不得不使用本地安全策略（secpol.msc，在Windows XP 本地安全设置）activate their auditing - >本地策略 - >审核策略。

查找范围Description of security events in Windows 7 and in Windows Server 2008 R2下子目录：其他登录/注销活动。

来源

2012-07-08 17:43:01 eran

谢谢这正是我一直在寻找对于Windows 7的本地安全策略'工具'找到我的设置在'安全设置 - >高级审核策略配置 - >系统审核策略 - 安全设置 - >高级审核策略配置 - 本地组策略对象 - >登录/注销 - >审计其他登录/注销事件“，这些事件捕获了锁定和解锁域中的工作站。 – veeTrain 2014-04-04 16:33:08

4800＆4801也适用于Windows 10. – Vej 2018-03-05 12:55:31

您将需要启用这些事件的记录。打开组策略编辑器，这样做的：

运行 - >输入gpedit.msc

和配置以下类别：

计算机配置 - >
Windows设置 - >
安全设置 - >
高级审计策略配置 - >
系统审核策略 - 本地组策略对象 - >
登录/注销 - >
审核其他登录/注销活动

（在说明选项卡上显示“...允许您审核...锁定和解锁工作站”。）

来源

2013-04-09 14:35:32 Mario

“高级审核策略配置”似乎在Windows XP中不可用。 – 2013-06-19 12:03:07

彼得，你是对的，高级审计策略配置不适用于XP。对于不支持加入域的Windows 2008 R2和Win7版本也是如此。检查http://technet.microsoft.com/en-us/library/dd692792(WS.10).aspx – 2013-08-30 00:58:40

优秀的答案。我想你可以在这里找到同样的菜单以及本地安全策略编辑器，但我喜欢你可以通过'gpedit.msc'到达那里。方便的提示！ – veeTrain 2014-04-04 16:39:17

要识别解锁屏幕，我相信你可以使用ID 4624但是你还需要看看登录类型，在这种情况下是7：http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

事件ID为注销是4634

来源

2014-03-19 10:18:46 Ingemar

不幸没有像锁定/解锁这样的事情。你需要做的是：

点击“过滤当前日志...”“
选择XML选项卡，并单击‘手动编辑查询’

输入下面的查询：

 
<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='LogonType']='7'] 
    and 
    (System[(EventID='4634')] or System[(EventID='4624')]) 
    ]</Select> 
    </Query> 
</QueryList>

就是这样

来源

2015-02-13 09:33:30

用于锁定和解锁的事件查看器标识

回答

相关问题