In Windows 7: Wie werden Zeiten abgefragt, zu denen der Computer gesperrt war?

10

Gibt es eine Möglichkeit, eine Liste der folgenden Zeiten zu erhalten:

  • wann immer Windows gesperrt ist (mit Windows + l Combo)
  • wann immer Windows entsperrt ist

    In der vergangenen Woche?

Ich habe versucht, im Ereignisprotokoll zu stöbern, ohne Erfolg.

Danke vielmals!

Silberdrache
quelle

Antworten:

23

Die Ereignis-ID 4800 sollte entsprechen. Die Arbeitsstation wurde gesperrt , und die Ereignis-ID 4801 sollte entsprechen. Die Arbeitsstation wurde entsperrt .

Wenn Sie sie in der Ereignisanzeige nicht sehen, öffnen Sie zum Aufzeichnen zukünftiger Ereignisse den lokalen Gruppenrichtlinien-Editor ( Start / Run / gpedit.msc) und navigieren Sie zu:

Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Erweiterte Überwachungsrichtlinienkonfiguration / Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt / Anmelden / Abmelden / Überwachen anderer Anmelde- / Abmeldeereignisse

und Aktivieren der Kontrollkästchen für Erfolg und Misserfolg :

1

Karan
quelle
Es ist etwas seltsam, dass auf der Registerkarte "Erklären" die Ereignis-IDs nicht angezeigt werden, da ich sicher bin, dass diese Informationen beim Überprüfen der Protokolle hilfreich sind.
Dan Atkinson
3
Wer zum Teufel hat gedacht, dass so etwas nicht standardmäßig protokolliert werden sollte?!
ThiefMaster
Führen Sie diesen Befehl für Benutzer von Windows Home (keine Gruppenrichtlinie) in einer Admin-Shell aus: auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable (Quelle)
Browly
1

Ich habe in meinem Windows 7-Sicherheitsereignisprotokoll Ereignisse gefunden, die dem Sperren und Entsperren entsprechen

4634 Logoff with (WinKey +L)
4624 and 4672 unlocking.
Guy Thomas
quelle
0

Unter Windows 10 und Active Directory funktionierte die Auswahl einer Ereignis-ID und eines Benutzernamens im Filter nicht, aber die Verwendung der folgenden Optionen in XML funktioniert:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        System[(EventID=4648)]
        and
        EventData[Data[@Name='TargetUserName']='PUT_YOUR_USERNAME_HERE']
       ]
    </Select>
  </Query>
</QueryList>
Kevinf
quelle