以下eventvwr.exe事件与 相关screen unlock event:
事件 ID 4624(访问类型:7)(屏幕解锁)
现在我需要找到screen lock event,这样我就可以比较我离开公寓的时间和屏幕锁定的时间。如果差异大于控制面板中设置的屏幕锁定时间,我就会知道有人在我离开时登录了。谢谢。
笔记:
我很困惑,因为这个帖子讲述了另一个故事。
答案1
锁定事件的事件 ID 是什么以及如何判断它是否是由用户发起的?
如果用户锁定工作站,然后立即解锁工作站,则会记录以下事件(从图像底部向上读取):
- 4800 工作站已锁定
- 4648 尝试使用显式凭据登录
- 4624 帐户已成功登录
- 4672 为新登录分配特殊权限
- 4801 工作站已解锁
4800:工作站已锁定
- 当用户手动锁定其工作站或工作站在一段时间不活动后自动锁定其控制台时,将记录此事件。
- 要查明用户何时返回并解锁工作站,请查找事件 ID 4801。
- 如果使用屏幕保护程序,则此事件与 4802/4803 之间存在关系,请参阅事件 ID 4802 以了解事件序列的说明。
描述字段
涉及的用户和登录会话。
- 安全 ID:帐户的 SID。
- 账户名:账户登录名。
- 帐户域:域或(本地帐户的情况下)计算机名称。
- 登录 ID 是一个半唯一(每次重启后唯一)的数字,用于标识登录会话。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
4801:工作站已解锁
当用户解锁他的工作站时您将看到此事件。
要了解工作站之前被锁定的时间,请回顾事件 ID 4800。
如果使用了屏幕保护程序,则此事件与 4802(调用屏幕保护程序)和 4803(关闭屏幕保护程序)之间也存在关系。
- 对于交互式登录,您可能会看到此事件或 4803。
4624:帐户已成功登录
- 这是一个非常有价值的事件,因为它记录了每次成功登录本地计算机的尝试,无论登录类型、用户位置或帐户类型如何。
- 您可以使用登录 ID 将此事件与注销事件 4634 和 4647 联系起来。
Windows 事件 4801 和 4624 有什么区别?
- 当帐户成功登录时,会生成事件 ID 4624。
- 当工作站解锁时,会生成事件 ID 4801。
- 当用户解锁工作站时,您会获得这两个事件。