如何在Windows Server中查看登录事件

在Windows中，您可以为操作系统检测到的某些事件启用"审核策略"。一个这样的审计策略是审核服务器上发生的任何登录名/注销事件。这可能是记录帐户正在登录服务器的好方法，何时何地。

本指南将介绍如何启用审核登录事件，查看它们，并创建自定义视图以仅筛选查看登录事件。

启用登录事件审核

所有审核策略都是组策略的一部分，因此可以在本地组策略编辑器中启用或禁用。

第一：打开组策略编辑器。

第二： 导航 计算机配置-> Windows设置->安全设置->本地策略->审核策略.

第三： 右键单击"审核登录事件"并选择 物产.

第四： 同时检查 成功 和 失败 复选框以启用成功和失败的登录尝试审核。 点击 好.

现在启用登录审计，并且将在事件查看器中跟踪任何未来的登录和注销事件。

查看登录事件

要查看现在被审核的登录事件，您可以从事件查看器查看它们。

第一： 打开事件查看器。

第二： 导航 Windows日志->安全性.

然后，事件查看器的此部分将包含任何登录和注销事件。然后，选择其中一个事件将在底部的框中显示事件的详细信息。

仅过滤登录事件

要仅查看登录事件列表，而不查看所有已检测到的安全事件，可以创建自定义视图。

第一： 在事件查看器中，导航回 Windows日志->安全性 部分。

第二： 选择 创建自定义视图… 在右侧边栏中。

第三： 单击它所说的位置并输入要查看的事件的ID。 可选地，您还可以通过指定用户通过用户筛选 用户： 文本框。 选择 好。

事件ID事件类型4624登录4672特殊登录4634注销

第四： 为您的视图命名，然后选择要放入的文件夹。单击 好.

现在，您将可以在"事件查看器"下的" 自定义视图 - >您的视图的名称.