Die Standardkonfiguration macht es ziemlich chaotisch. Dies liegt daran, dass Windows auch verfolgt, wenn Sie sich bei Netzwerkcomputern anmelden müssen. Es erfasst auch jedes Mal, wenn Ihr Computerkonto, nicht das Benutzerkonto, eine Anmeldesitzung erstellt.
Sie sollten die Anmeldeoption des Prüfkontos und nicht die Prüfanmeldeoption verwenden .
Die Ereignisse, nach denen Sie suchen, haben den vollständig qualifizierten Domänennamen Ihres Kontos. Wenn Sie sich beispielsweise nicht in einer Domäne befinden, lautet der Suchtext, nach dem Sie suchen, Computername / Kontoname.
bearbeiten
Eine andere Idee ist, Anmelde- und Abmeldeskripts zu erstellen. Je nach Ihrer Edition von Windows 7 können Sie gpedit.msc
die Gruppenrichtlinienkonsole aufrufen.
Dann brauchen Sie nur eine Batchdatei, die den Befehl enthält logevent "My login/logoff event" -e 666
. Dieses Ereignis wird im Anwendungsprotokoll angezeigt
bearbeiten
Dies ist einfacher, wenn Sie sich nicht in einer Domäne befinden. Wenn Sie unter Lokale Sicherheit / Lokale Richtlinien / Sicherheitsoptionen wechseln, suchen Sie nach der Option "Überwachung erzwingen". Ich habe den Namen vergessen. Aber deaktiviere es. Dadurch werden die Sicherheitsprotokolle weniger ausführlich, da ein Benutzer, der sich an der Konsole anmeldet, in einigen Fällen dieselbe Ereignis-ID verwendet. Einige Event-IDs, nach denen Sie suchen möchten:
- Ereignis 4647 - Wenn Sie auf die Schaltfläche zum Abmelden, Neustarten und Herunterfahren klicken. Das Windows-Update, das Ihren Computer neu startet, löst manchmal auch dieses Ereignis aus :(
- Ereignis 4648 - Dies ist der Fall, wenn ein Prozess (der den Anmeldebildschirm enthält) Ihre expliziten Anmeldeinformationen verwendet, anstatt ein Token zu sagen, um sich anzumelden. Dazu gehören der Befehl Runas und häufig auch Sicherungsprogramme.
- Ereignis 4800 - Wenn Ihre Workstation gesperrt ist, drücken Sie beispielsweise WIN + L
- Ereignis 4801 - Wenn Ihre Workstation entsperrt ist
Im Allgemeinen können Sie die Ereignisse 4647 und 4648 verwenden. Leider gibt es keine sichere Methode, da es tausend Dinge gibt, die beim Anmelden und Abmelden Ihres Computers auftreten.
Dafür lohnt es sich, bei der Arbeit nach dem Anmeldeskript zu suchen, und beim Abmelden gibt es zwei Programme sowie ein Synchronisationsereignis, nach dem wir nach sicheren Feuerereignissen suchen.