在 Microsoft-Windows-Winlogon/Operationsl.evtx 事件日志中,事件 ID 811 和 812 记录了 Winlogon 事件的开始和结束。标签Data名称Event指定了会话事件类型,例如,在链接的屏幕截图中,带圆圈的“5”表示系统解锁:
winlogon 事件示例
我知道有一些已知的事件标签:2 = 登录,3 = 注销,4 = 锁定(无论是自动还是手动),5 = 解锁,6 = 屏幕保护程序启动,7 = 屏幕保护程序停止
但是,我也看到了其他地方没有记录的例子。有人能解释一下这些事件标签是什么吗:
0、1、8、9、10、11、12、13