잠금 및 잠금 해제를위한 Eventviewer eventid

잠금 및 잠금 해제를위한 Eventviewer eventid

---

Windows XP, Windows 7, Windows Vista 및 Windows Server 2008 에서 컴퓨터 잠금, 잠금 해제에 대한 이벤트 뷰어의 이벤트 ID는 무엇입니까 ?

---

Vista 이전 Windows에서 찾을 이벤트 ID는 528 , 538 및 680 입니다. 528은 일반적으로 워크 스테이션의 성공적인 잠금 해제를 나타냅니다.

최신 Windows 버전의 코드는 다릅니다. 자세한 내용은 아래 답변을 참조하세요.

---

잠금 이벤트 ID는 4800이고 잠금 해제는 4801입니다. 보안 로그에서 찾을 수 있습니다. 로컬 보안 정책 (secpol.msc, Windows XP의 로컬 보안 설정 )-> 로컬 정책 -> 감사 정책을 사용하여 감사 를 활성화 해야 할 수 있습니다 . Windows 10의 경우 아래 그림을 참조하십시오.

Windows 7 및 Windows Server 2008 R2의 보안 이벤트 설명 에서 하위 범주 : 기타 로그온 / 로그 오프 이벤트를 찾습니다 .

---

이러한 이벤트의 로깅을 활성화해야합니다. 그룹 정책 편집기를 열어이를 수행하십시오.

실행-> gpedit.msc

다음 범주 구성 :

컴퓨터 구성 ->
Windows 설정 ->
보안 설정 ->
고급 감사 정책 구성 ->
시스템 감사 정책-로컬 그룹 정책 개체 ->
로그온 / 로그 오프 ->
기타 로그인 / 로그 오프 이벤트 감사

( 설명 탭에는 "... 감사 할 수 있습니다 ... 워크 스테이션 잠금 및 잠금 해제"라고 표시됩니다.)

---

최신 버전의 Windows (Windows 10 및 Windows Server 2016 모두 포함하되 이에 국한되지 않음)의 경우 이벤트 ID는 다음과 같습니다.

• 4800-워크 스테이션이 잠겼습니다.
• 4801-워크 스테이션이 잠금 해제되었습니다.

워크 스테이션 잠금 및 잠금 해제에는 다음 로그온 및 로그 오프 이벤트도 포함됩니다.

• 4624-계정이 성공적으로 로그온되었습니다.
• 4634-계정이 로그 오프되었습니다.
• 4648-명시 적 자격 증명을 사용하여 로그온을 시도했습니다.

터미널 서비스 세션을 사용할 때 세션의 연결이 끊어진 경우 잠금 및 잠금 해제에 다음 이벤트가 포함될 수 있으며 이벤트 4778이 이벤트 4801을 대체 할 수 있습니다.

• 4779-Window Station에서 세션 연결이 끊어졌습니다.
• 4778-세션이 Window Station에 다시 연결되었습니다.

이벤트 4800 및 4801은 기본적으로 감사되지 않으며 로컬 그룹 정책 편집기 ( gpedit.msc) 또는 로컬 보안 정책 ( secpol.msc)을 사용하여 활성화해야합니다 .

로컬 그룹 정책 편집기를 사용하는 정책의 경로는 다음과 같습니다.

• 로컬 컴퓨터 정책
• 컴퓨터 구성
• Windows 설정
• 보안 설정
• 고급 감사 정책 구성
• 시스템 감사 정책-로컬 그룹 정책 개체
• 로그온 / 로그 오프
• 기타 로그온 / 로그 오프 이벤트 감사

The path for the policy using Local Security Policy is the following subset of the path for Local Group Policy Editor:

• Security Settings
• Advanced Audit Policy Configuration
• System Audit Policies - Local Group Policy Object
• Logon/Logoff
• Audit Other Logon/Logoff Events

---

To identify unlock screen I believe that you can use ID 4624. But then you also need to look at the Logon Type which in this case is 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

Event ID for Logoff is 4634

---

Unfortunately there is no such a thing as Lock/Unlock. What you have to do is:

1. Click on "Filter Current Log..."
2. Select the XML tab and click on "Edit query manually"

3. Enter the below query:

   <QueryList>
     <Query Id="0" Path="Security">
       <Select Path="Security">
       *[EventData[Data[@Name='LogonType']='7']
        and
        (System[(EventID='4634')] or System[(EventID='4624')])
        ]</Select>
     </Query>
   </QueryList>
   

That's it

---

For Windows 10 the event ID for lock=4800 and unlock=4801.

As it says in the answer provided by Mario and User 00000, you will need to enable logging of lock and unlock events by using their method described above by running gpedit.msc and navigating to the branch they indicated:

Computer Configuration -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> System Audit Policies - Local Group Policy Object -> Logon/Logoff -> Audit Other Login/Logoff

Enable for both success and failure events.

After enabling logging of those events you can filter for Event ID 4800 and 4801 directly.

이 방법은 컴퓨터를 잠그고 잠금 해제 한 후 보안 로그를 필터링하는 데 사용했기 때문에 Windows 10에서 작동합니다.

---

보안 설정-> 고급 감사 정책-> 시스템 감사-> 로그온 / 로그 오프-> 기타 로그온 / 오프 이벤트 감사-> 성공시

다음을 활성화합니다.

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Windows 10 전문가

참조 URL : https://stackoverflow.com/questions/11385164/eventviewer-eventid-for-lock-and-unlock