自 Windows 7 上次解锁以来的时间

Question 1

打开事件查看器，浏览至Windows 日志>安全并查找 ID 为 4624 的事件：

活动 4624 详情

登录类型：7表示工作站解锁。

Answer

打开事件查看器，浏览至Windows 日志>安全并查找 ID 为 4624 的事件：

活动 4624 详情

登录类型：7表示工作站解锁。

Question 2

以显示仅有的工作站解锁事件（即登录类型：7）：

打开事件查看器。
在右侧窗格中，单击“创建自定义视图”。
单击“XML”选项卡。
选中“手动编辑查询”。
在确认框中单击“是”。

粘贴此 XML：

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='7']
        and
        System[(EventID='4624')]
        and
        System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]] <!-- Show only events in the last seven days -->
      ] 
    </Select>
  </Query>
</QueryList>

单击“确定”。
输入名称和描述，例如“解锁次数”、“用户解锁计算机的时间”。
单击“确定”。
现在，无论何时您想知道解锁计算机的时间，请打开左侧窗格中的“自定义视图”文件夹并选择“解锁时间”（或您在步骤 8 中为过滤器命名的任何名称）。

来源：按用户和登录类型过滤安全日志

Answer

以显示仅有的工作站解锁事件（即登录类型：7）：

打开事件查看器。
在右侧窗格中，单击“创建自定义视图”。
单击“XML”选项卡。
选中“手动编辑查询”。
在确认框中单击“是”。

粘贴此 XML：

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        EventData[Data[@Name='LogonType']='7']
        and
        System[(EventID='4624')]
        and
        System[TimeCreated[timediff(@SystemTime) &lt;= 604800000]] <!-- Show only events in the last seven days -->
      ] 
    </Select>
  </Query>
</QueryList>

单击“确定”。
输入名称和描述，例如“解锁次数”、“用户解锁计算机的时间”。
单击“确定”。
现在，无论何时您想知道解锁计算机的时间，请打开左侧窗格中的“自定义视图”文件夹并选择“解锁时间”（或您在步骤 8 中为过滤器命名的任何名称）。

来源：按用户和登录类型过滤安全日志

Question 3

Powershell 6 单行命令（以管理员身份运行）：

(get-winevent -FilterHashtable @{Logname='Security';ID=4624;'LogonType'='7'}  -MaxEvents 1).TimeCreated

Powershell 的早期版本：

(Get-winevent -FilterHashtable @{logname='security'; id=4624; starttime=(get-date).date} | where {$_.properties[8].value -eq 7})[0].TimeCreated

Answer

Powershell 6 单行命令（以管理员身份运行）：

(get-winevent -FilterHashtable @{Logname='Security';ID=4624;'LogonType'='7'}  -MaxEvents 1).TimeCreated

Powershell 的早期版本：

(Get-winevent -FilterHashtable @{logname='security'; id=4624; starttime=(get-date).date} | where {$_.properties[8].value -eq 7})[0].TimeCreated

自 Windows 7 上次解锁以来的时间

答案1

答案2

答案3

相关内容