我想从我的电脑获取唯一的登录和注销事件。在事件查看器中,我可以看到登录和注销事件的多个条目。我检查了大部分事件详细信息,但找不到用户登录的唯一事件。
答案1
您的登录事件是独特。您只是没有查看独特数据。
每个 ID 为 4624 的事件的描述中都会包含一个登录 ID(如果是域登录,则包含一个登录 GUID)、用户名和大量其他详细信息。
要将注销事件(事件 ID 4634)与登录关联,您需要检查注销事件的描述,并将其中的登录 ID 与登录事件发生时记录的登录 ID 关联起来。
如何在 Windows 中获取唯一登录和注销事件