Windows登陆日志配置与查看

admin 2023年10月29日 400次浏览

在工作当中,有时候我们需要对用户使用计算机的情况进行审计工作,这就离不开对用户的登陆、登出进行查看。在 Windows 系统中,我们可以通过系统自带的日志功能进行查看

一、配置用户登陆、登出日志审计策略

如果需要查看用户的登陆、登出记录,首先我们需要进行安全策略的配置

  • 使用 【win + R】组合键调出 “运行” 对话框

  • 在对话框中输入 gpedit.msc 命令,打开 “组策略” 配置工具

  • 在 “本地组策略编辑器” 中,以此进入【计算机配置】 —> 【Windows配置】 —> 【安全设置】 —> 【本地策略】 —> 【审核策略】

  • 双击对话框右侧的【审核登陆事件】,然后将 “成功”“失败” 两个选项勾选上,点击【确定】即可

二、查看登陆、登出日志记录

在策略配置完毕后,就可以对用户的登陆、登出事件进行审计了

1、登陆审计

  • 打开【控制面板】 —> 【系统和安全】 —> 【查看事件日志】或者使用 eventvwr.msc 命令打开 “事件查看器”

  • 选择【Windows日志】 —> 【安全】

  • 筛选登陆日志

    在【安全】日志中包含了大量的安全日志,这里我们需要进行筛选,以便快速找到我们所需信息。在 “事件查看器” 窗口右侧选择【筛选当前日志】

  • “所有事件ID” 中输入 4624 对用户登陆事件进行筛选

  • 通过筛选后,就能得到相关的登陆审计信息了,此时的登陆信息中,还包含了系统调用的登陆信息,不过 Windows 给我们备注了登陆类型,其中 “登陆类型” 中 ID 为 2 的就是交互登陆,也就是我们用户的登陆信息

2、登出审计

登出审计的操作和 “登陆审计” 操作基本相同,唯一不同的就是 “所有事件ID” ,登出事件的 ID 号是 4647。登出审计不同于登陆审计,登出审计只有在系统启动注销事件时才会产生记录,因此只会产生一条登出记录