Windows 7: Qual é o ID do evento para um evento de bloqueio e como saber se ele é iniciado pelo usuário ou não?

Navegue suas respostas
0

O evento eventvwr.exe a seguir está relacionado a um screen unlock event :

ID de evento 4624 (tipo de acesso: 7) (desbloqueio de tela)

Agora preciso encontrar o screen lock event , para que eu possa comparar o tempo entre o momento em que saí do apartamento e quando a tela foi bloqueada. Se a diferença for maior do que a definida como o tempo de bloqueio da tela no painel de controle, saberei que alguém fez logon enquanto eu estava ausente. Obrigado.

NOTA:

Estou confuso porque este post conta outra história.

    
por Jordan Jamingsons 28.10.2015 / 22:55

1 resposta

1

Qual é o ID do evento para um evento de bloqueio e como saber se ele é iniciado pelo usuário ou não?

Se um usuário bloquear a estação de trabalho e, em seguida, desbloquear imediatamente a estação de trabalho, os seguintes eventos serão registrados (leia de baixo para cima na imagem):

  • 4800Aestaçãodetrabalhofoibloqueada
  • 4648Umlogonfoitentadousandocredenciaisexplícitas
  • 4624Umacontafoiregistradacomsucesso
  • 4672Privilégiosespeciaisatribuídosaonovologon
  • 4801Aestaçãodetrabalhofoidesbloqueada

4800:Aestaçãodetrabalhofoibloqueada

  • Wheneitherausermanuallylockshisworkstationortheworkstationautomaticallylocksitsconsoleafteraperiodofinactivitythiseventislogged.
  • TofindoutwhentheuserreturnedandunlockedtheworkstationlookforeventID4801.
  • Ifascreensaverisused,thereisarelationshipbetweenthiseventand4802/4803SeeeventID4802foranexplanationofthesequenceofevents.

DescriptionFields

Theuserandlogonsessioninvolved.

  • SecurityID:TheSIDoftheaccount.
  • AccountName:Theaccountlogonname.
  • AccountDomain:Thedomainor-inthecaseoflocalaccounts-computername.
  • LogonIDisasemi-unique(uniquebetweenreboots)numberthatidentifiesthelogonsession.LogonIDallowsyoutocorrelatebackwardstothelogonevent(4624)aswellaswithothereventsloggedduringthesamelogonsession.

Fonte 4800: A estação de trabalho foi bloqueada

4801: A estação de trabalho foi desbloqueada

  • When a user unlocks his workstation you will see this event.

  • To find out when the workstation was previously locked look backwards in time for for event ID 4800.

  • If a screen saver is used, there is also a relationship between this event and 4802 (screen saver invoked) and 4803 (screen saver dismissed).

  • For Interactive logons you may see this event or 4803.

Fonte 4801: A estação de trabalho foi desbloqueada

4624: Uma conta foi registrada com sucesso

  • This is a highly valuable event since it documents each and every successful attempt to logon to the local computer regardless of logon type, location of the user or type of account.
  • You can tie this event to logoff events 4634 and 4647 using Logon ID.

Fonte 4624: uma conta foi registrada com sucesso

Qual é a diferença entre os eventos do Windows 4801 e 4624?

  • A ID de evento 4624 é gerada quando uma conta efetua login com êxito.
  • A ID de evento 4801 é gerada quando a estação de trabalho é desbloqueada.
  • Você recebe esses dois eventos quando um usuário desbloqueia a estação de trabalho.

Leitura Adicional

por 28.10.2015 / 23:14

Tags

Como posso definir rapidamente o foco para o campo de pesquisa usando o teclado apenas no Chrome? Instale o Windows 10 via Win7 no novo computador