Eventviewer eventid para bloquear e desbloquear
Qual é o id do evento no Visualizador de Eventos para bloquear, desbloquear para um computador no Windows XP, Windows 7, Windows Vista e Windows Server 2008 ?
7 answers
Olhar em Descrição de eventos de segurança no Windows 7 e no Windows Server 2008 R2 em Subcategoria: Outros Eventos de Logon/Logoff.
Terá de activar o registo destes eventos. Faça-o abrindo o editor de políticas de grupo:
Run - > gpedit.msc
E configurar a seguinte categoria:
[[1]}(na página explica diz"... permite-lhe auditar ... Travando e desbloqueando uma estação de trabalho".)Configuração Do Computador ->
Configurações Do Windows ->
Configurações De Segurança ->
Configuração De Política De Auditoria Avançada ->
Sistema De Auditoria De Políticas Locais De Objeto De Diretiva De Grupo ->
Início De Sessão/Fim De Sessão ->
Auditar Outros Eventos De Login/Logoff
O ID do evento para o Logoff é 4634
- Carregue em " Filtrar o registo actual..."
- Seleccione a página XML e carregue em "Editar a consulta manualmente"
-
Indique a pesquisa abaixo:
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='LogonType']='7'] and (System[(EventID='4634')] or System[(EventID='4624')]) ]</Select> </Query> </QueryList>
Para O Windows 10, o ID do evento para lock = 4800 e unlock=4801.
Como diz na resposta fornecida pelo Mario e pelo Utilizador 00000, terá de activar o registo dos eventos de bloqueio e desbloqueamento usando o método descrito acima, executando o gpedit.msc e navegando até ao ramo indicado:
Configuração Do Computador - > Configuração Do Windows - > definicao -> Configuração Avançada Da Política De Auditoria - > Políticas De Auditoria Do Sistema-Objecto Da Política Do Grupo Local - > Logon / Logoff -> Auditoria Outro Login / Logoff
Permitir tanto os eventos de sucesso como os de fracasso.
Depois de activar o registo desses eventos, poderá filtrar directamente os ID de Evento 4800 e 4801.
Este método funciona para o Windows 10, já que o usei para filtrar os meus registos de segurança depois de trancar e desbloquear o meu computador.Para as versões mais recentes do Windows (incluindo mas não limitado ao Windows 10 e ao Windows Server 2016), os IDs do evento são:
- 4800-o posto de trabalho estava bloqueado.
4801-a estação de trabalho estava destrancada.
Bloquear e desbloquear uma estação de trabalho também envolve os seguintes eventos de logon e logoff:
- 4624-uma conta foi acedida com sucesso.
4634-uma conta foi cancelada.
- 4648-tentou-se um logon usando explicitamente credencial.
Ao usar uma sessão de Serviços de Terminal, o bloqueio e desbloqueamento também pode envolver os seguintes eventos se a sessão estiver desligada, e o evento 4778 pode substituir o evento 4801:
- 4779-uma sessão foi desligada de uma estação de janelas.
4778-uma sessão foi reconectada a uma estação de janelas.
Os eventos 4800 e 4801 não são auditados por defeito, e devem ser activados utilizando o editor de Políticas de Grupos Locais ({[[0]}) ou a Política de Segurança Local (secpol.msc
).
A localização da política usando o editor de Políticas de Grupos Locais é:
- Política Informática Local
- Configuração Do Computador
- Configuração Das Janelas
- Configuração Da Segurança
- Configuração Da Política De Auditoria Avançada
- Políticas De Auditoria Do Sistema-Objecto Da Política Do Grupo Local
- Logon / Logoff
- Auditar Outros Eventos De Logon / Logoff
O caminho para a política que utiliza a Política de segurança Local é o seguinte subconjunto do caminho para o Grupo Local Editor De Políticas:
- Configuração Da Segurança
- Configuração Da Política De Auditoria Avançada
- Políticas De Auditoria Do Sistema-Objecto Da Política Do Grupo Local
- Logon / Logoff
- Auditar Outros Eventos De Logon / Logoff