(有关背景信息,请参阅:在Windows 7中,如何查询计算机被锁定的时间?)
当机器被锁定/解锁时,Windows 事件日志中可能会生成两个完全独立的事件:
- 4800 & 4801 - 需要组策略设置来启用它们
- 4624 和 4634(登录类型设置为 7)- 始终启用(?)
我推测这些事件并非完全相同,因此可能它们之间存在细微的语义差异,而我却忽略了这些差异。这种差异是什么?除了禁用日志记录之外,哪些情况可能会导致其中一个事件被记录,而另一个事件则不被记录?
答案1
Windows 事件 4801 和 4624 有什么区别?
- 当帐户成功登录时,会生成事件 ID 4624。
- 当工作站解锁时,会生成事件 ID 4801。
- 当用户解锁工作站时,您会获得这两个事件。
如果用户锁定工作站,然后立即解锁工作站,则会记录以下事件(从图像底部向上读取):
- 4800 工作站已锁定
- 4648 尝试使用显式凭据登录
- 4624 帐户已成功登录
- 4672 为新登录分配特殊权限
- 4801 工作站已解锁
4801:工作站已解锁
当用户解锁他的工作站时您将看到此事件。
要了解工作站之前被锁定的时间,请回顾事件 ID 4800。
如果使用了屏幕保护程序,则此事件与 4802(调用屏幕保护程序)和 4803(关闭屏幕保护程序)之间也存在关系。
- 对于交互式登录,您可能会看到此事件或 4803。
4624:帐户已成功登录
- 这是一个非常有价值的事件,因为它记录了每次成功登录本地计算机的尝试,无论登录类型、用户位置或帐户类型如何。
- 您可以使用登录 ID 将此事件与注销事件 4634 和 4647 联系起来。