Windows 事件查看器中是否有指示注销开始的信息消息?我试图在用户注销时发现错误和警告。
答案1
我很确定您需要启用“审核登录事件”才能在安全事件日志中查看帐户登录/注销事件。
此外,如果这与这问题,那么您只需在 GroupPolicy 操作事件日志中查找事件 5324,而不必启用帐户登录审核。
答案2
安全日志确实会跟踪登录和注销事件,这应该会为您提供要查找的时间戳。
- 4624——登录
- 4625——登录失败
- 4634——注销
- 4740——帐户锁定
我需要在 Windows 事件查看器中查找哪些日志消息来表明注销的开始?