Аудит входа в систему Windows

Случалось у вас так, что вы видите что за вашим компьютером кто-то работал, а вы не знаете когда и кто? Для того, чтоб система записывала в журнал событий информцию о том, кто входит в систему, нужно настроить групповые политики, а именно включить параметры аудита системы, относящиеся к событиям входа в систему (Audit logon events). События входа в систему отслеживают события как локального, так и сетевого входа в систему. Каждое событие содержит информацию об учетной записи, с помощью которой произведен вход в систему, а также время, когда это событие произошло. Помимо событий входа в систему, можно настроить аудит событий выхода из системы.

Включаем аудит входов в систему

Открываем редактор групповых политик - Пуск - в строке поиска пишем gpedit.msc и нажимаем Ввод. Если вывляетесь администратором контроллера домена, можно нстроить данную групповую политику на контроллере домена.

Открываем следующий путь: Local Computer Policy –> Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Audit Policy.

Дабл кликаем параметр групповой политики Audit logon events. В окне свойств устанавливаем Success чекбокс для записи в журнал успешных входов в систему. Также можно установить чекбокс Failure для журналирования неудачных попыток входа в систему.

Просмотр событий входа в систему

После включения данного параметра групповой политики, Windows будет записывать в журнал событий информацию об учетной записи с помощью которой произведен вход в систему, а также время, когда это событие произошло.

Для просмотра данных событий открываем Оснастку Просмотр событий - нажимаем меню Пуск - пишем Просмотр событий (Event Viewer) и нажимаем Ввод

Открываем путь Windows Logs –> Security.

Смотрим события:

  • ID 4624 – это события успехов входа в систему.
  • ID 4625 – это события отказов входа в систему.

Для того чтоб посмотреть полнюу информацию - даблкликайте интнресующее вас событие, и в открывшемся диалоговом окне смотрите детальную информацию.

Если у вас в журнале записано много событий, среди которых сложно отделить события с ID 4624 или 4625, можно воспользоваться фильтром. Для этого в правой части окна нажимаем кнопку Фильтр текущего журнала...

В открывшемся окне настроек фильтра, введите интересующий вас ID:

Как видно элементов в журнале существенно поубавилось:

На этом все. Если есть вопросы, уточнения, замечания - пишите.

В качестве дополения к данному материалу можно сказать, что помимо просмотра пост фактум журнала событий, в системе Windows 7 можно организовать отправку уведомлений по электронной почте, в случае ,если к вам в систему кто-то входит.

 

There are 10 Comments

В отчете не отображается

В отчете не отображается адрес с которого инициировалось подключение. Причина в том, что машина за NATom или же в чем-то другом?

Нет, причина в том, что в

Нет, причина в том, что в Windows не предусмотрено логгирование адреса с которого ппроизводится подключение, а только компьютер, на котором проводилась попытка входа.

Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Тоесть, фактически, нет

Тоесть, фактически, нет возможности средствами Windows определить откуда была попытка подключения?

Да. Для этого нужно

Да. Для этого нужно воспользоваться сторонними утилитами, такими как TCP Log view.

Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Просмотр событий входа в систему

добрый день

Одинаковое время выхода из системы со входом в систему (Код события 4634 и 4624) , с чем это связано?
 

Там помимо кода события

Там помимо кода события имеется множество доп информации.

могу предположить, что ваша проблема описана здесь

Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Добрый день!

Добрый день!

Если добавить графу "Пользователь", то отображается Н/Д (интересует больше всего 4624 и 4634). Отмечал на 2008R2 (рабочая группа), 7 и 10.  Посмотреть логин юзера возможно только открыв событие. Что крайне неудобно. Что нужно сделать, чтобы имя пользователя отображалось сразу? И ещё одно. Добавление упомянутой графы "Пользователь" сделать"навсегда" хотелось-бы. Пока она пропадает после закрытия окна.

Спасибо!

Доброго дня.

Доброго дня.

Даное поле не относится к имени пользователя, входящего в систему - это имя пользователя, добавляющего запись в журнал событий.

Вот здеь человечек ответил по этому вопросу.

А вот здесь освеещна техническая сторона как программно можно устанавить поле User при добавлении записи в Журнал событий

Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Спасибо!

Спасибо!

Основное в статье понял. Знаний для реализации - не хватает. Решил для себя проблему при помощи "костыля" в виде Event Log Explorer, где есть возможность добавления отображения в главном окне пользовательских полей, в том числе и "user name". Фильтр, правда, по этому полю и в данной программе не работает.

Риторический вопрос: зачем ломать то, что работало в предыдущих версиях ОС? В частности, в 2003\XP.

К сожалению действия компании

К сожалению, действия компании Майкрософт не всегда можно понять, но в данном случае я могу предположить что поле Юзер оставлено для обратной совместимости, поэтому и вводит в заблуждение. А насчет решения вашей проблемы - спасибо что поделились, на будущее, другим будет на заметку.

Делись своим опытом и знаниями, ибо в могиле они тебе вряд-ли пригодятся.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Разрешённые HTML-теги: <a> <s> <u> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <hr> <dd> <sub> <sup>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Защита от СПАМ ботов. Подтвердите, пожалуйста, что вы человек.
4 + 5 =
Решите эту простую математическую задачу и введите результат. Например, для 1+3, введите 4.