Windows XP、Windows 7、 Windows Vista および Windows Server 2008 のコンピューターのロック、ロック解除のイベントビューアーのイベントIDは何ですか?
ロックイベントIDは4800、ロック解除は4801です。セキュリティログで確認できます。おそらく 監査を有効にする を使用する必要がありますローカルセキュリティポリシー(secpol.msc、 Windows XPのローカルセキュリティ設定)->ローカルポリシー->監査ポリシー。 Windows 10の場合、下の図を参照してください。
Windows 7およびWindows Server 2008 R2のセキュリティイベントの説明サブカテゴリ:その他のログオン/ログオフイベント。
これらのイベントのログを有効にする必要があります。これを行うには、グループポリシーエディターを開きます。
実行-> gpedit.msc
次のカテゴリを構成します。
コンピューターの構成->
Windows設定->
セキュリティ設定->
監査ポリシーの詳細設定->
システム監査ポリシー-ローカルグループポリシーオブジェクト->
ログオン/ログオフ->
その他のログイン/ログオフイベントの監査
(説明タブでは、「...監査できるようにします...ワークステーションのロックとロック解除」。)
Windowsの新しいバージョン(Windows 10とWindows Server 2016の両方を含むがこれらに限定されない)の場合、イベントIDは次のとおりです。
ワークステーションのロックおよびロック解除には、次のログオンおよびログオフイベントも含まれます。
ターミナルサービスセッションを使用している場合、セッションが切断されると、ロックおよびロック解除に次のイベントが含まれることがあり、イベント4778がイベント4801を置き換える場合があります。
イベント4800および4801はデフォルトでは監査されないため、ローカルグループポリシーエディター(gpedit.msc
)またはローカルセキュリティポリシー(secpol.msc
)。
ローカルグループポリシーエディターを使用したポリシーのパスは次のとおりです。
ローカルセキュリティポリシーを使用するポリシーのパスは、ローカルグループポリシーエディターのパスの次のサブセットです。
残念ながら、ロック/ロック解除などはありません。あなたがしなければならないことは:
以下のクエリを入力します。
<QueryList> <Query Id = "0" Path = "Security"> <Select Path = "Security"> * [EventData [Data [ @ Name = 'LogonType'] = '7'] and (System [(EventID = '4634')]またはSystem [(EventID = '4624')]) </ Select> </ Query> </ QueryList>
それでおしまい
ロック解除画面を識別するには、ID 4624を使用できると考えています。しかし、この場合は7であるログオンタイプも確認する必要があります。 http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event .aspx?eventid = 4624
ログオフのイベントIDは4634です
セキュリティ設定->詳細監査ポリシー->システム監査->ログオン/ログオフ->他のログオン/オフイベントの監査->成功時
以下を有効にします。
4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed
Windows 10 Professional
Windows 10の場合、lock = 4800およびunlock = 4801のイベントID。
マリオとユーザー00000が提供する回答で述べているように、gpedit.mscを実行し、示されたブランチに移動して、上記の方法を使用して、ロックおよびロック解除イベントのログを有効にする必要があります。
コンピューターの構成-> Windowsの設定->セキュリティの設定->詳細な監査ポリシーの構成->システム監査ポリシー-ローカルグループポリシーオブジェクト->ログオン/ログオフ->他のログイン/ログオフの監査
成功イベントと失敗イベントの両方を有効にします。
これらのイベントのログを有効にした後、イベントID 4800および4801を直接フィルタリングできます。
この方法は、コンピューターをロックおよびロック解除した後にセキュリティログをフィルター処理するために使用したため、Windows 10で機能します。