通过windows日志查看器查看系统登陆日志

2024-07-02 19:10| 来源: 网络整理| 查看: 265

起因：回到工位发现自己电脑没锁屏，突然想找到查看windows登录记录的方法参考：

http://www.cflab.net/News/1522379153901

https://blog.csdn.net/C_chuxin/article/details/84974207

https://www.akunblog.com/archives/275.html

操作方法：

打开事件查看器

事件查看器->windows日志->安全

右侧选择筛选当前日志

筛选事件ID

4624 - 帐户已成功登录4625 - 帐户登录失败4634 - 帐户被注销4647 - 用户发起注销4648 - 试图使用明确的凭证登录（可以查看远程登陆的相关信息，比如IP地址等）

发现筛选事件ID为4624时，并不是所有的日志都是用户登录行为

TargetUserName为SYSTEM的，LogonType为5的不是用户的登陆行为

TargetUserName为本机微软账户的，LogonType为7的通常所说的用户登陆

LogonType的具体释义：

或者可以筛选事件ID为4648的事件，都是用户手动登录系统的事件

事件ID为4634的事件，为用户锁屏注销的事件

筛选事件ID4634和4648，则可以看到连贯的注销和登录记录

【本文地址】

今日新闻