Windows Logon Events werden bei Login nach Bildschirmschoner nicht angezeigt

lima-city: Webhosting, Domains und Cloud
2 Pluspunkte 0 Minuspunkte
Ich sammle Windows Eventlogs zentral in einem Elastic Cluster. Dabei schaue ich besonders auf die Events 4624 und 4634. Damit sehe ich die Logons eigentlich im Normalfall. Mir ist aber aufgefallen wenn ich auf einem Server mit RDP angemeldet bin und mit Windows+L den Bildschirm sperre und mich wieder anmelde sehe ich das Login nicht. Kann ich diese Logins auch irgendwie verfolgen?
von  

2 Antworten

2 Pluspunkte 0 Minuspunkte

Du suchst nach Event IDs 4800 und 4801.

  • 4800: Eine Arbeitsstation wurde gesperrt
  • 4801: Eine Arbeitsstation wurde entsperrt
von (525 Punkte)  
0 Pluspunkte 0 Minuspunkte

Die Events 4624 (Logon) und 4634 (Logoff) zeigen nur vollständige An- und Abmeldungen am System also wenn sich ein Benutzer wirklich anmeldet oder abmeldet. Wenn ein Benutzer per Windows+L den Bildschirm sperrt und später wieder entsperrt, findet keine neue Anmeldung statt. Daher wird auch kein 4624 Event erzeugt. Für diesen Fall musst du zusätzlich folgende Events berücksichtigen: 

  • 4800 "Die Arbeitsstation wurde gesperrt" 
  • 4801 "Die Arbeitsstation wurde entsperrt"

Damit kannst du nachvollziehen, wann ein Benutzer zwar noch angemeldet war, aber den Bildschirm gesperrt hatte und wieder zurückkommt.

von (777 Punkte)  

Ähnliche Fragen

Diese Community basiert auf dem Prinzip der Selbstregulierung. Beiträge werden von Nutzern erstellt, bewertet und verbessert – ganz ohne zentrale Moderation.

Wer hilfreiche Fragen stellt oder gute Antworten gibt, sammelt Punkte. Mit steigender Punktzahl erhalten Mitglieder automatisch mehr Rechte, zum Beispiel

  • Kommentare verfassen
  • Fragen und Antworten bewerten
  • Themen von Fragen bearbeiten
  • Fragen, Antworten und Kommentare bearbeiten
  • Inhalte ausblenden

So entsteht eine Plattform, auf der sich Qualität durchsetzt – getragen von einer engagierten Gemeinschaft.

2,496 Fragen

3,002 Antworten

281 Kommentare

13 Nutzer