Es gibt Hunderte von Verwaltungs- und Supportaufgaben, die wir in Windows 10 ausführen können, und eine davon ist die detaillierte Analyse jeder Benutzerabmeldung. Das Betriebssystem Windows 10 ist in der Lage, den gesamten Abmeldevorgang zu verfolgen und von dort aus eine Reihe von Ereignissen in das Systemprotokoll zu schreiben, auf das wir später zugreifen können, um alle notwendigen Informationen für Verwaltungs- oder Auditzwecke zu erhalten. .
Um auf diese Art von Informationen zuzugreifen, ist es nicht erforderlich, Tools oder Software von Drittanbietern zu verwenden, da Windows 10 ein Dienstprogramm namens Ereignisanzeige integriert, in dem alle Systemereignisse nach Kategorien (System, Sicherheit usw.) gehostet werden die Möglichkeit, jedes Ereignis, das im System und seinen Anwendungen auftritt, zentral zu steuern.
Microsoft hat für jede Aktion, die innerhalb von Windows 10 ausgeführt wird, eine Reihe von Ereignissen entwickelt, bei der Abmeldung lautet die ID wie folgt:
Ereignis-ID 4647Benutzerinitiierte Abmeldung. Dieses Ereignis wird generiert, wenn ein Logout beginnt. Es können keine anderen benutzerinitiierten Aktivitäten stattfinden. Dieses Ereignis kann manuell oder automatisch als Logout-Ereignis interpretiert werden.
Jetzt erklärt Solvetic, wie wir diese ID über die Ereignisanzeige sehen und von dort aus bessere Analysemöglichkeiten haben.
Anzeigen des Abmeldeverlaufs mit Abmeldeereignis in Windows 10
Sehen wir uns zunächst an, wie Sie den Viewer aufrufen, um Ereignisse filtern zu können.
Schritt 1
Um auf diese Ereignisanzeige zuzugreifen, haben wir die folgenden Optionen:
- Klicken Sie mit der rechten Maustaste auf das Startmenü oder verwenden Sie die folgenden Tasten und wählen Sie in der angezeigten Liste "Ereignisanzeige".
+ X
- Verwenden Sie die folgende Tastenkombination und führen Sie den Befehl "eventvwr.msc" aus und drücken Sie die Eingabetaste oder OK.
+ R
- Geben Sie im Windows 10-Suchfeld den Begriff "Ereignisse" ein und wählen Sie dort den Viewer aus
Schritt 2
Sobald wir auf die Ereignisanzeige zugreifen, gehen wir zum Abschnitt "Windows-Protokolle" und wählen dort die Kategorie "Sicherheit" aus, in der wir Folgendes sehen.
VERGRÖSSERN
Schritt 3
Jetzt müssen wir den Datensatz mit einer der folgenden Optionen filtern:
- Klicken Sie auf die Zeile "Aktuellen Datensatz filtern" auf der rechten Seite.
- Gehen Sie in das Menü "Aktion" und wählen Sie dort "Aktuellen Datensatz filtern".
- Klicken Sie mit der rechten Maustaste auf "Sicherheit" und wählen Sie "Aktuellen Datensatz filtern".
Schritt 4
Wenn Sie eine dieser Optionen verwenden, wird das folgende Fenster angezeigt, in dem wir die Ereignis-ID 4647 im Feld "Alle IDs" definieren müssen:
Schritt 5
Es gibt zusätzliche Optionen wie die Suche nach dieser ID auf verschiedenen Netzwerkcomputern oder für mehrere Benutzer, in diesem Fall wird dies lokal durchgeführt, sodass wir die Standardoption belassen. Wenn wir die ID 4647 eingeben, klicken wir auf die Schaltfläche "Akzeptieren", um den Filter anzuwenden und wir können nur die Ereignisse sehen, die sich auf diese Sitzungs-Logout-ID beziehen:
VERGRÖSSERN
Schritt 6
Wir können auf jedes der angezeigten Ereignisse doppelklicken, um detaillierte Informationen zu erhalten, z. Diese ID 4647 wird generiert, wenn der Abmeldevorgang mit einem bestimmten Konto über die Abmeldefunktion eingeleitet wurde.
- Computer, Benutzer und Domäne, auf der die Abmeldung durchgeführt wurde
- Art des Registers
- Datum und Uhrzeit des Sitzungsschlusses
- Ausrüstung, in der der Prozess durchgeführt wurde und mehr.
Wir sehen, wie einfach Windows 10 uns die Möglichkeit gibt, die Anmeldungen im System detailliert zu analysieren.
