In Windows 10 können Hunderte von Administrations- und Supportaufgaben ausgeführt werden. Eine dieser Aufgaben besteht darin, jeden Sitzungsschluss des Benutzers detailliert zu analysieren. Das Windows 10-Betriebssystem kann den gesamten Abmeldeprozess nachverfolgen und von dort eine Reihe von Ereignissen in das Systemprotokoll schreiben, auf die wir später zugreifen können, um alle erforderlichen Informationen für Verwaltungs- oder Überwachungszwecke abzurufen. .
Um auf diese Art von Informationen zuzugreifen, müssen keine Tools oder Software von Drittanbietern verwendet werden, da Windows 10 ein Dienstprogramm namens Ereignisanzeige integriert, in dem alle Systemereignisse nach Kategorie (System, Sicherheit usw.) und von dort aus gehostet werden die Möglichkeit, jedes Ereignis, das im System und seinen Anwendungen auftritt, zentral zu steuern.
Microsoft hat für jede in Windows 10 ausgeführte Aktion eine Reihe von Ereignissen entwickelt. Für den Fall, dass die Sitzung geschlossen wird, lautet die ID wie folgt:
Ereignisid 4647
Vom Benutzer initiierte Abmeldung. Dieses Ereignis wird generiert, wenn ein Sitzungsabschluss beginnt. Es kann keine andere vom Benutzer initiierte Aktivität stattfinden. Dieses Ereignis kann manuell oder automatisch als Ereignis zum Schließen einer Sitzung interpretiert werden.
Jetzt wird Solvetic erklären, wie wir diese ID über die Ereignisanzeige sehen und von dort aus bessere Analyseoptionen haben.
Verlauf anzeigen Mit Abmeldeereignis in Windows 10 abmelden
Lassen Sie uns zuerst sehen, wie Sie den Viewer aufrufen, um Ereignisse filtern zu können.
Schritt 1
Um auf diese Ereignisanzeige zuzugreifen, haben wir folgende Möglichkeiten:
- Klicken Sie mit der rechten Maustaste auf das Startmenü, oder verwenden Sie die folgenden Tasten, und wählen Sie in der Dropdown-Liste "Ereignisanzeige" aus.
+ X
- Verwenden Sie die folgende Tastenkombination, führen Sie den Befehl "eventvwr.msc" aus und drücken Sie die Eingabetaste oder OK.
+ R
- Geben Sie im Windows 10-Suchfeld den Begriff "Ereignisse" ein und wählen Sie dort den Viewer aus
Schritt 2
Sobald wir auf die Ereignisanzeige zugreifen, gehen wir zum Abschnitt „Windows-Registrys“ und wählen dort die Kategorie „Sicherheit“ aus, in der Folgendes angezeigt wird.
Schritt 3
Jetzt müssen wir die Registrierung mit einer der folgenden Optionen filtern:
- Klicken Sie auf die Zeile „Aktuellen Datensatz filtern“ auf der rechten Seite.
- Gehen Sie zum Menü "Aktion" und wählen Sie "Aktuellen Datensatz filtern".
- Klicken Sie mit der rechten Maustaste auf "Sicherheit" und wählen Sie "Aktuellen Datensatz filtern".
Schritt 4
Wenn Sie eine dieser Optionen verwenden, wird das folgende Fenster angezeigt, in dem Sie die Ereignis-ID 4647 im Feld "Alle IDs" definieren müssen:
Schritt 5
Es gibt zusätzliche Optionen, z. B. die Suche nach dieser ID auf verschiedenen Netzwerkgeräten oder für mehrere Benutzer. In diesem Fall erfolgt die Suche lokal, sodass die Standardoption beibehalten wird. Wenn Sie die ID 4647 eingeben, klicken Sie auf die Schaltfläche "Akzeptieren", um den Filter anzuwenden. Es werden nur die Ereignisse angezeigt, die mit dieser Sitzungs-ID zusammenhängen:
Schritt 6
Wir können auf jedes der angezeigten Ereignisse doppelklicken, um detaillierte Informationen zu erhalten, z. Diese ID 4647 wird generiert, wenn der Abmeldevorgang mit einem bestimmten Konto mithilfe der Abmeldefunktion eingeleitet wurde.
- Computer, Benutzer und Domäne, auf dem der Sitzungsabschluss ausgeführt wurde
- Art der Aufzeichnung
- Datum und Uhrzeit des Sitzungsschlusses
- Ausrüstung, in der der Prozess durchgeführt wurde und mehr.
Wir können sehen, wie einfach Windows 10 es uns ermöglicht, die Anmeldungen im System detailliert zu analysieren.
$config[ads_text5] not found
Artikel