Istnieją setki zadań administracyjnych i wsparcia, które możemy wykonać w systemie Windows 10, a jednym z nich jest szczegółowa analiza każdego wylogowania użytkownika. System operacyjny Windows 10 jest w stanie śledzić cały proces wylogowywania i stamtąd zapisywać serię zdarzeń w dzienniku systemowym, do którego możemy uzyskać dostęp później, aby uzyskać wszystkie niezbędne informacje do celów administracyjnych lub kontrolnych.
Aby uzyskać dostęp do tego typu informacji, nie będzie konieczne korzystanie z narzędzi lub oprogramowania innych firm, ponieważ system Windows 10 integruje narzędzie o nazwie Podgląd zdarzeń, w którym wszystkie zdarzenia systemowe są hostowane według kategorii (system, zabezpieczenia itp.) i stamtąd mamy możliwość centralnego sterowania każdym zdarzeniem występującym w systemie i jego aplikacjach.
Microsoft opracował serię zdarzeń dla każdej akcji, która jest wykonywana w systemie Windows 10, w przypadku wylogowania identyfikator wygląda następująco:
Identyfikator zdarzenia 4647Wylogowanie inicjowane przez użytkownika. To zdarzenie jest generowane po rozpoczęciu wylogowania. Nie może wystąpić żadna inna aktywność inicjowana przez użytkownika. To zdarzenie może być interpretowane jako zdarzenie wylogowania ręcznie lub automatycznie.
Teraz Solvetic wyjaśni, w jaki sposób możemy zobaczyć ten identyfikator przez przeglądarkę zdarzeń, a stamtąd mamy lepsze opcje analizy.
Wyświetl historię wylogowania ze zdarzeniem wylogowania w systemie Windows 10
Zobaczmy najpierw, jak wejść do przeglądarki, aby móc filtrować zdarzenia.
Krok 1
Aby uzyskać dostęp do tej przeglądarki wydarzeń, mamy następujące opcje:
- Kliknij prawym przyciskiem myszy menu Start lub użyj następujących klawiszy, a na wyświetlonej liście wybierz „Podgląd zdarzeń”.
+ X
- Użyj następującej kombinacji klawiszy i wykonaj polecenie „eventvwr.msc” i naciśnij klawisz Enter lub OK.
+ R
- W polu wyszukiwania systemu Windows 10 wpisz termin „wydarzenia” i wybierz przeglądarkę
Krok 2
Po uzyskaniu dostępu do Podglądu zdarzeń przejdziemy do sekcji „Dzienniki systemu Windows” i tam wybierzemy kategorię „Zabezpieczenia”, w której zobaczymy następujące elementy.
POWIĘKSZAĆ
Krok 3
Teraz musimy przefiltrować rekord, używając dowolnej z następujących opcji:
- Kliknij wiersz „Filtruj bieżący rekord” znajdujący się po prawej stronie.
- Przejdź do menu „Akcja” i tam wybierz „Filtruj bieżący rekord”.
- Kliknij prawym przyciskiem myszy „Zabezpieczenia” i wybierz „Filtruj bieżący rekord”.
Krok 4
W przypadku skorzystania z którejkolwiek z tych opcji wyświetli się następujące okno, w którym w polu „Wszystkie identyfikatory” musimy zdefiniować identyfikator zdarzenia 4647:
Krok 5
Istnieją dodatkowe opcje, takie jak wyszukiwanie tego identyfikatora na różnych komputerach w sieci lub dla wielu użytkowników, w tym przypadku zostanie to zrobione lokalnie, więc pozostawiamy opcję domyślną. Podczas wprowadzania ID 4647 klikamy przycisk „Akceptuj”, aby zastosować filtr i będziemy mogli zobaczyć tylko zdarzenia związane z tym identyfikatorem wylogowania sesji:
POWIĘKSZAĆ
Krok 6
Możemy dwukrotnie kliknąć na dowolne z wyświetlanych zdarzeń, aby uzyskać szczegółowe informacje np. Ten identyfikator 4647 jest generowany, gdy proces wylogowania został zainicjowany na określonym koncie przy użyciu funkcji wylogowania.
- Komputer, użytkownik i domena, na której dokonano wylogowania
- Rodzaj rejestru
- Data i godzina zamknięcia sesji
- Sprzęt, w którym przeprowadzono proces i nie tylko.
Widzimy, jak prosty system Windows 10 daje nam możliwość szczegółowej analizy logowań w systemie.
