Аудит входа в систему Windows

Случалось у вас так, что вы видите что за вашим компьютером кто-то работал, а вы не знаете когда и кто? Для того, чтоб система записывала в журнал событий информцию о том, кто входит в систему, нужно настроить групповые политики, а именно включить параметры аудита системы, относящиеся к событиям входа в систему (Audit logon events). События входа в систему отслеживают события как локального, так и сетевого входа в систему. Каждое событие содержит информацию об учетной записи, с помощью которой произведен вход в систему, а также время, когда это событие произошло. Помимо событий входа в систему, можно настроить аудит событий выхода из системы.

Включаем аудит входов в систему

Открываем редактор групповых политик - Пуск - в строке поиска пишем gpedit.msc и нажимаем Ввод. Если вывляетесь администратором контроллера домена, можно нстроить данную групповую политику на контроллере домена.

Открываем следующий путь: Local Computer Policy –> Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Audit Policy.

Дабл кликаем параметр групповой политики Audit logon events. В окне свойств устанавливаем Success чекбокс для записи в журнал успешных входов в систему. Также можно установить чекбокс Failure для журналирования неудачных попыток входа в систему.

Просмотр событий входа в систему

После включения данного параметра групповой политики, Windows будет записывать в журнал событий информацию об учетной записи с помощью которой произведен вход в систему, а также время, когда это событие произошло.

Для просмотра данных событий открываем Оснастку Просмотр событий - нажимаем меню Пуск - пишем Просмотр событий (Event Viewer) и нажимаем Ввод

Открываем путь Windows Logs –> Security.

Смотрим события:

  • ID 4624 – это события успехов входа в систему.
  • ID 4625 – это события отказов входа в систему.

Для того чтоб посмотреть полнюу информацию - даблкликайте интнресующее вас событие, и в открывшемся диалоговом окне смотрите детальную информацию.

Если у вас в журнале записано много событий, среди которых сложно отделить события с ID 4624 или 4625, можно воспользоваться фильтром. Для этого в правой части окна нажимаем кнопку Фильтр текущего журнала...

В открывшемся окне настроек фильтра, введите интересующий вас ID:

Как видно элементов в журнале существенно поубавилось:

На этом все. Если есть вопросы, уточнения, замечания - пишите.

В качестве дополения к данному материалу можно сказать, что помимо просмотра пост фактум журнала событий, в системе Windows 7 можно организовать отправку уведомлений по электронной почте, в случае ,если к вам в систему кто-то входит.

 

There are 10 Comments

В отчете не отображается адрес с которого инициировалось подключение. Причина в том, что машина за NATom или же в чем-то другом?

Нет, причина в том, что в Windows не предусмотрено логгирование адреса с которого ппроизводится подключение, а только компьютер, на котором проводилась попытка входа.

Твори, или уйди в сторону и не мешай творить другим.
Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Тоесть, фактически, нет возможности средствами Windows определить откуда была попытка подключения?

Да. Для этого нужно воспользоваться сторонними утилитами, такими как TCP Log view.

Твори, или уйди в сторону и не мешай творить другим.
Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

добрый день

Одинаковое время выхода из системы со входом в систему (Код события 4634 и 4624) , с чем это связано?
 

Там помимо кода события имеется множество доп информации.

могу предположить, что ваша проблема описана здесь

Твори, или уйди в сторону и не мешай творить другим.
Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Добрый день!

Если добавить графу "Пользователь", то отображается Н/Д (интересует больше всего 4624 и 4634). Отмечал на 2008R2 (рабочая группа), 7 и 10.  Посмотреть логин юзера возможно только открыв событие. Что крайне неудобно. Что нужно сделать, чтобы имя пользователя отображалось сразу? И ещё одно. Добавление упомянутой графы "Пользователь" сделать"навсегда" хотелось-бы. Пока она пропадает после закрытия окна.

Спасибо!

Доброго дня.

Даное поле не относится к имени пользователя, входящего в систему - это имя пользователя, добавляющего запись в журнал событий.

Вот здеь человечек ответил по этому вопросу.

А вот здесь освеещна техническая сторона как программно можно устанавить поле User при добавлении записи в Журнал событий

Твори, или уйди в сторону и не мешай творить другим.
Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Спасибо!

Основное в статье понял. Знаний для реализации - не хватает. Решил для себя проблему при помощи "костыля" в виде Event Log Explorer, где есть возможность добавления отображения в главном окне пользовательских полей, в том числе и "user name". Фильтр, правда, по этому полю и в данной программе не работает.

Риторический вопрос: зачем ломать то, что работало в предыдущих версиях ОС? В частности, в 2003\XP.

К сожалению, действия компании Майкрософт не всегда можно понять, но в данном случае я могу предположить что поле Юзер оставлено для обратной совместимости, поэтому и вводит в заблуждение. А насчет решения вашей проблемы - спасибо что поделились, на будущее, другим будет на заметку.

Твори, или уйди в сторону и не мешай творить другим.
Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Страницы

Добавить комментарий

You must have Javascript enabled to use this form.