以下是用户退出 Windows 的两种常见方法:
- 手动的:用户手动注销
- 自动化:windows系统通过某种机制自动注销用户
有什么方法可以确定(基于 Windows 原装安装,没有安装任何特殊软件)注销的方法?即以下哪一种方法(手动/自动) 用于注销吗?
答案1
当用户调用注销/退出时(手动的) 操作,这将作为事件 ID 记录到安全事件日志中4647。自动的注销(会话超时)将作为事件 ID 记录到事件日志中4634。
要查看事件日志中的事件,请执行以下操作
eventvwr从“开始”>“运行”加载- 单击
SecurityWindows 日志下的 - 点击
Filter Current Log右侧的操作菜单 4634,4647在下面的字段中输入Includes/Excludes Event IDs:
单击“确定”,您将看到与所选事件 ID 相关的事件列表。
如果您没有看到任何内容,则可能是您的事件日志已被清除,或者事件太旧,您需要更改事件查看器存储的数据量。
可以找到事件 ID 的完整列表这里。