Существуют сотни административных и вспомогательных задач, которые мы можем выполнить в Windows 10, и одна из них заключается в подробном анализе каждого закрытия сессии пользователем. Операционная система Windows 10 способна отследить весь процесс выхода из системы и оттуда записать в системный журнал серию событий, к которым мы можем обратиться позже, чтобы получить всю необходимую информацию для целей администрирования или аудита.,
Для доступа к информации такого типа нет необходимости использовать сторонние инструменты или программное обеспечение, поскольку в Windows 10 встроена утилита под названием Event Viewer, в которой все системные события размещаются по категориям (System, Security и т. Д.), И оттуда мы имеем возможность централизованно контролировать каждое событие, происходящее в системе и ее приложениях.
Microsoft разработала серию событий для каждого действия, выполняемого в Windows 10, в случае закрытия сеанса идентификатор является следующим:
Событие с кодом 4647
Выход из системы инициирован пользователем. Это событие генерируется, когда начинается закрытие сессии. Никакая другая активность, инициированная пользователем, не может произойти. Это событие можно интерпретировать как событие закрытия сеанса вручную или автоматически.
Теперь Solvetic объяснит, как мы можем увидеть этот идентификатор в средстве просмотра событий, и оттуда есть лучшие варианты анализа.
Просмотреть историю Выйти с события выхода из системы в Windows 10
Давайте сначала посмотрим, как войти в Viewer, чтобы иметь возможность фильтровать события.
Шаг 1
Для доступа к этой программе просмотра событий у нас есть следующие опции:
- Щелкните правой кнопкой мыши меню «Пуск» или используйте следующие клавиши и в раскрывающемся списке выберите «Просмотр событий».
+ X
- Используйте следующую комбинацию клавиш, выполните команду «eventvwr.msc» и нажмите Enter или OK.
+ R
- В окне поиска Windows 10 введите термин «события» и там выберите зрителя
Шаг 2
Получив доступ к средству просмотра событий, мы перейдем в раздел «Реестры Windows» и там выберем категорию «Безопасность», где увидим следующее.
Шаг 3
Теперь мы должны отфильтровать реестр, используя один из следующих параметров:
- Нажмите на строку «Фильтровать текущую запись», расположенную справа.
- Зайдите в меню «Действие» и выберите «Фильтровать текущую запись».
- Щелкните правой кнопкой мыши «Безопасность» и выберите «Фильтровать текущую запись».
Шаг 4
При использовании любого из этих параметров будет отображаться следующее окно, в котором мы должны определить идентификатор события 4647 в поле «Все идентификаторы»:
Шаг 5
Существуют дополнительные параметры, такие как поиск этого идентификатора на различных сетевых устройствах или для нескольких пользователей, в этом случае это будет выполняться локально, поэтому мы оставляем параметр по умолчанию. При вводе идентификатора 4647 мы нажимаем кнопку «Принять», чтобы применить фильтр, и видим только события, связанные с этим идентификатором сеанса:
Шаг 6
Мы можем дважды щелкнуть любое из отображаемых событий, чтобы получить подробную информацию, например. Этот идентификатор 4647 генерируется, когда процесс выхода из системы инициирован с определенной учетной записью с использованием функции выхода из системы.
- Компьютер, пользователь и домен, на котором было выполнено закрытие сеанса
- Тип записи
- Дата и время закрытия сессии
- Оборудование, на котором проводился процесс и многое другое.
Мы видим, как простая Windows 10 дает нам возможность детально анализировать логины в системе.
$config[ads_text5] not found
СТАТЬИ