Diferença entre eventos do Windows 4801 e 4624

Qual é a diferença entre os eventos do Windows 4801 e 4624?

• A ID de evento 4624 é gerada quando uma conta efetua login com êxito.
• A ID de evento 4801 é gerada quando a estação de trabalho é desbloqueada.
• Você recebe esses dois eventos quando um usuário desbloqueia a estação de trabalho.

Se um usuário bloquear a estação de trabalho e, em seguida, desbloquear imediatamente a estação de trabalho, os seguintes eventos serão registrados (leia de baixo para cima na imagem):

• 4800Aestaçãodetrabalhofoibloqueada
• 4648Umlogonfoitentadousandocredenciaisexplícitas
• 4624Umacontafoiregistradacomsucesso
• 4672Privilégiosespeciaisatribuídosaonovologon
• 4801Aestaçãodetrabalhofoidesbloqueada

4801:Aestaçãodetrabalhofoidesbloqueada

• Whenauserunlockshisworkstationyouwillseethisevent.

• TofindoutwhentheworkstationwaspreviouslylockedlookbackwardsintimeforforeventID4800.

• Ifascreensaverisused,thereisalsoarelationshipbetweenthiseventand4802(screensaverinvoked)and4803(screensaverdismissed).

• ForInteractivelogonsyoumayseethiseventor4803.

Fonte 4801: A estação de trabalho foi desbloqueada

4624: Uma conta foi registrada com sucesso

• This is a highly valuable event since it documents each and every successful attempt to logon to the local computer regardless of logon type, location of the user or type of account.
• You can tie this event to logoff events 4634 and 4647 using Logon ID.

Fonte 4624: uma conta foi registrada com sucesso

Leitura Adicional

• Eventos de registro de segurança do Windows
• Como rastrear o login do usuário Atividade usando eventos de logon