Eventviewer eventid para bloquear e desbloquear

Qual é o id do evento no Visualizador de Eventos para bloquear, desbloquear para um computador no Windows XP, Windows 7, Windows Vista e Windows Server 2008 ?

Author: Peter Mortensen, 2012-07-08
Source

7 answers

Os IDs de eventos a procurar nas janelas pré-Vista são 528, 538, e 680. 528 geralmente significa desbloqueio bem sucedido da estação de trabalho.

Os códigos para as versões mais recentes do Windows diferem, veja abaixo as respostas para mais informações.

 3
Author: Athar Anis, 2016-05-31 08:30:49
O ID do evento de bloqueio é 4800, e o desbloqueio é 4801. Podes encontrá-los nos registos de segurança. Você provavelmente tem queativar sua auditoria usandoa Política de Segurança Local (secpol.msc, Configuração Local de segurança no Windows XP) - > Políticas Locais -> Política de auditoria .

Olhar em Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2 em Subcategoria: Outros Eventos de Logon/Logoff.

 61
Author: eran, 2013-06-19 11:48:20

Terá de activar o registo destes eventos. Faça-o abrindo o editor de políticas de grupo:

Run - > gpedit.msc

E configurar a seguinte categoria:

Configuração Do Computador ->
Configurações Do Windows ->
Configurações De Segurança ->
Configuração De Política De Auditoria Avançada ->
Sistema De Auditoria De Políticas Locais De Objeto De Diretiva De Grupo ->
Início De Sessão/Fim De Sessão ->
Auditar Outros Eventos De Login/Logoff

[[1]}(na página explica diz"... permite-lhe auditar ... Travando e desbloqueando uma estação de trabalho".)
 34
Author: Mario, 2016-08-05 01:50:13
Para identificar o ecrã de desbloqueio, acho que pode usar o ID 4624. Mas então você também precisa olhar para o tipo de Logon que neste caso é 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

O ID do evento para o Logoff é 4634

 4
Author: Ingemar, 2014-03-19 10:18:46
Infelizmente não existe tal coisa como trancar / destrancar. O que tens de fazer é:
  1. Carregue em " Filtrar o registo actual..."
  2. Seleccione a página XML e carregue em "Editar a consulta manualmente"

  3. Indique a pesquisa abaixo: 

    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
    *[EventData[Data[@Name='LogonType']='7']
     and
     (System[(EventID='4634')] or System[(EventID='4624')])
     ]</Select>
  </Query>
</QueryList>
É isso.
 4
Author: Bruno Marotta, 2015-02-13 09:33:30

Para O Windows 10, o ID do evento para lock = 4800 e unlock=4801.

Como diz na resposta fornecida pelo Mario e pelo Utilizador 00000, terá de activar o registo dos eventos de bloqueio e desbloqueamento usando o método descrito acima, executando o gpedit.msc e navegando até ao ramo indicado:

Configuração Do Computador - > Configuração Do Windows - > definicao -> Configuração Avançada Da Política De Auditoria - > Políticas De Auditoria Do Sistema-Objecto Da Política Do Grupo Local - > Logon / Logoff -> Auditoria Outro Login / Logoff

Permitir tanto os eventos de sucesso como os de fracasso.

Depois de activar o registo desses eventos, poderá filtrar directamente os ID de Evento 4800 e 4801.

Este método funciona para o Windows 10, já que o usei para filtrar os meus registos de segurança depois de trancar e desbloquear o meu computador.
 0
Author: Brian Johns, 2018-05-24 17:08:15

Para as versões mais recentes do Windows (incluindo mas não limitado ao Windows 10 e ao Windows Server 2016), os IDs do evento são:

    4800-o posto de trabalho estava bloqueado. 4801-a estação de trabalho estava destrancada.

Bloquear e desbloquear uma estação de trabalho também envolve os seguintes eventos de logon e logoff:

    4624-uma conta foi acedida com sucesso. 4634-uma conta foi cancelada.
  • 4648-tentou-se um logon usando explicitamente credencial.

Ao usar uma sessão de Serviços de Terminal, o bloqueio e desbloqueamento também pode envolver os seguintes eventos se a sessão estiver desligada, e o evento 4778 pode substituir o evento 4801:

    4779-uma sessão foi desligada de uma estação de janelas. 4778-uma sessão foi reconectada a uma estação de janelas.

Os eventos 4800 e 4801 não são auditados por defeito, e devem ser activados utilizando o editor de Políticas de Grupos Locais ({[[0]}) ou a Política de Segurança Local (secpol.msc).

A localização da política usando o editor de Políticas de Grupos Locais é:

  • Política Informática Local
  • Configuração Do Computador
  • Configuração Das Janelas
  • Configuração Da Segurança
  • Configuração Da Política De Auditoria Avançada
  • Políticas De Auditoria Do Sistema-Objecto Da Política Do Grupo Local
  • Logon / Logoff
  • Auditar Outros Eventos De Logon / Logoff

O caminho para a política que utiliza a Política de segurança Local é o seguinte subconjunto do caminho para o Grupo Local Editor De Políticas:

  • Configuração Da Segurança
  • Configuração Da Política De Auditoria Avançada
  • Políticas De Auditoria Do Sistema-Objecto Da Política Do Grupo Local
  • Logon / Logoff
  • Auditar Outros Eventos De Logon / Logoff
 0
Author: Ryan Prechel, 2018-08-01 18:12:48