web-dev-qa-db-ja.com

ロックおよびロック解除のイベントビューアーイベントID

Windows XP、Windows 7、 Windows Vista および Windows Server 2008 のコンピューターのロック、ロック解除のイベントビューアーのイベントIDは何ですか?

windowsevent-viewer
52
user1500194

Vistaより前のWindowsで検索するイベントIDは、 528538 、および 68 です。 528は通常、ワークステーションの正常なロック解除を表します。

新しいWindowsバージョンのコードは異なります。詳細については、以下の回答を参照してください。

4
Ath An

ロックイベントIDは4800、ロック解除は4801です。セキュリティログで確認できます。おそらく 監査を有効にする を使用する必要がありますローカルセキュリティポリシー(secpol.msc、 Windows XPのローカルセキュリティ設定)->ローカルポリシー->監査ポリシー。 Windows 10の場合、下の図を参照してください。

Windows 7およびWindows Server 2008 R2のセキュリティイベントの説明サブカテゴリ:その他のログオン/ログオフイベント

Other Logon/Logoff Events in Windows 10

73
eran

これらのイベントのログを有効にする必要があります。これを行うには、グループポリシーエディターを開きます。

実行-> gpedit.msc

次のカテゴリを構成します。

コンピューターの構成->
Windows設定->
セキュリティ設定->
監査ポリシーの詳細設定->
システム監査ポリシー-ローカルグループポリシーオブジェクト->
ログオン/ログオフ->
その他のログイン/ログオフイベントの監査

説明タブでは、「...監査できるようにします...ワークステーションのロックとロック解除」。)

36
Mario

Windowsの新しいバージョン(Windows 10とWindows Server 2016の両方を含むがこれらに限定されない)の場合、イベントIDは次のとおりです。

  • 4800-ワークステーションがロックされました。
  • 4801-ワークステーションのロックが解除されました。

ワークステーションのロックおよびロック解除には、次のログオンおよびログオフイベントも含まれます。

  • 4624-アカウントが正常にログオンしました。
  • 4634-アカウントがログオフされました。
  • 4648-明示的な資格情報を使用してログオンが試行されました。

ターミナルサービスセッションを使用している場合、セッションが切断されると、ロックおよびロック解除に次のイベントが含まれることがあり、イベント4778がイベント4801を置き換える場合があります。

  • 4779-セッションがWindow Stationから切断されました。
  • 4778-セッションがウィンドウステーションに再接続されました。

イベント4800および4801はデフォルトでは監査されないため、ローカルグループポリシーエディター(gpedit.msc)またはローカルセキュリティポリシー(secpol.msc)。

ローカルグループポリシーエディターを使用したポリシーのパスは次のとおりです。

  • ローカルコンピューターポリシー
  • コンピューターの構成
  • Windowsの設定
  • セキュリティ設定
  • 高度な監査ポリシーの構成
  • システム監査ポリシー-ローカルグループポリシーオブジェクト
  • ログオン/ログオフ
  • 他のログオン/ログオフイベントの監査

ローカルセキュリティポリシーを使用するポリシーのパスは、ローカルグループポリシーエディターのパスの次のサブセットです。

  • セキュリティ設定
  • 高度な監査ポリシーの構成
  • システム監査ポリシー-ローカルグループポリシーオブジェクト
  • ログオン/ログオフ
  • 他のログオン/ログオフイベントの監査
7
Ryan Prechel

残念ながら、ロック/ロック解除などはありません。あなたがしなければならないことは:

  1. 「現在のログをフィルタリング...」をクリックします
  2. [XML]タブを選択し、[クエリを手動で編集]をクリックします

  3. 以下のクエリを入力します。

     <QueryList> 
 <Query Id = "0" Path = "Security"> 
 <Select Path = "Security"> 
 * [EventData [Data [ @ Name = 'LogonType'] = '7'] 
 and 
(System [(EventID = '4634')]またはSystem [(EventID = '4624')])
 </ Select> 
 </ Query> 
 </ QueryList>

それでおしまい

4
Bruno Marotta

ロック解除画面を識別するには、ID 4624を使用できると考えています。しかし、この場合は7であるログオンタイプも確認する必要があります。 http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event .aspx?eventid = 4624

ログオフのイベントIDは4634です

4
Ingemar

セキュリティ設定->詳細監査ポリシー->システム監査->ログオン/ログオフ->他のログオン/オフイベントの監査->成功時

以下を有効にします。

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Windows 10 Professional

1
kevinf

Windows 10の場合、lock = 4800およびunlock = 4801のイベントID。

マリオとユーザー00000が提供する回答で述べているように、gpedit.mscを実行し、示されたブランチに移動して、上記の方法を使用して、ロックおよびロック解除イベントのログを有効にする必要があります。

コンピューターの構成-> Windowsの設定->セキュリティの設定->詳細な監査ポリシーの構成->システム監査ポリシー-ローカルグループポリシーオブジェクト->ログオン/ログオフ->他のログイン/ログオフの監査

成功イベントと失敗イベントの両方を有効にします。

これらのイベントのログを有効にした後、イベントID 4800および4801を直接フィルタリングできます。

この方法は、コンピューターをロックおよびロック解除した後にセキュリティログをフィルター処理するために使用したため、Windows 10で機能します。

0
Brian Johns