我们公司运行 Win10 Enterprise 系统并使用 PIV 和 Pulse Secure 进行远程登录。查看用户的登录/注销时间时,我发现代码 811 和 812 具有与这些事件关联的标签。标签编号为 0、1、2、3、4、5、6、7、8、9、12 和 13。有人知道这些标签事件是什么吗?或者我可以在哪里找到对它们的引用?Ben N 在本论坛上于 2021 年 1 月 3 日提供了以下前 6 个条目:2=logon(SessionEnv、TermSrv、Profiles、Sens 或 GPClient)这些差异有什么背景信息吗? 3=注销(Dot3svc、Wlansvc、SessionEnv、Profiles、GPClient、TermSrv、Sens)4=锁定(无论自动或手动)(TermSrv、Sens)5=解锁(TermSrv、Sens)6=屏幕保护程序启动 7=屏幕保护程序停止
事件查看器中显示与这些数字相关的最少文本,如下所示:0:TermSrv、GPClient、TrustedInstaller)1:TermSrv)8:SessionEnv、Sens)
9:SessionEnv、Sens)12:TermSrv、Sens、GPClient、SessionEnv)13:GPClient、TermSrv)
如能提供任何有关代码和相关文本的上下文信息,我们将不胜感激。
答案1
我自己也在调查同样的事情,因为Microsoft-Windows-Winlogon/操作日志似乎是确定用户活动(例如登录/注销和锁定/解锁)的可靠来源。
请注意,我最感兴趣的是交互的针对控制台发生的活动,所以我的研究集中于此。
我从运行现代版本构建的少数 Windows 10 系统中抽样了事件。我执行了一些操作,例如以交互方式登录控制台、锁定和解锁会话、使用切换用户功能以及使用终端服务命令(例如tsdiscon
针对logoff
用户会话)。
由于在绝大多数情况下,EventID 811(“开始处理通知事件”)似乎始终跟着 812(“完成处理通知事件”),因此我过滤了正在处理的数据集以仅包含事件 ID 812。
在许多情况下,系统似乎都会记录用户 ID 为 SYSTEM 的事件。我决定忽略这些事件,因为我主要对最终用户自己执行的活动感兴趣。
日志中存在多个订阅者名称值。虽然我最初假设订阅者名称为服务端最相关,但情况并非总是如此。(例如,tsdiscon
针对会话使用生成了具有相关 UserID 值的事件,事件值为8以及一个订阅者名称桑斯。
考虑到所有这些,以下是我的发现:
- 0 和 1:仅当 UserId 为 NT AUTHORITY\SYSTEM 时才存在,并且是用户为本地 SYSTEM 时存在的唯一不同值。
- 2 和 12:登录
- 3 和 13: 注销
- 4:会话已锁定
- 5:会话已解锁
- 8:会话暂停到磁盘(例如,当选择“切换用户”或
tsdiscon
使用“切换用户”时)。 - 9:会话从磁盘恢复。