在 Windows 中,您可以为操作系统检测到的某些事件启用“审核策略”。一种这样的审计策略是审计服务器上发生的任何登录/注销事件。这可能是记录哪些帐户正在登录您的服务器、何时以及从何处登录的好方法。
本指南将介绍如何启用审核登录事件、查看它们以及创建自定义视图以过滤仅查看登录事件。
启用登录事件审核
所有审核策略都是组策略的一部分,因此可以从本地组策略编辑器中启用或禁用。
首先:打开组策略编辑器。
第二:导航到计算机配置-> Windows 设置-> 安全设置-> 本地策略-> 审核策略。
第三:右键单击“审核登录事件”并选择“属性” 。
第四:选中“成功”和“失败”复选框以启用对成功和失败登录尝试的审核。单击确定。
现在登录审核已启用,任何未来的登录和注销事件都将在事件查看器中进行跟踪。
查看登录事件
要查看现在正在审核的登录事件,您可以从事件查看器中查看它们。
首先:打开事件查看器。
第二:导航到Windows Logs -> Security。
事件查看器的这一部分将列出所有登录和注销事件。选择其中一个事件将在底部的框中显示该事件的详细信息。
仅过滤登录事件
要仅查看登录事件列表而不是已检测到的每个安全事件,您可以创建自定义视图。
首先:在事件查看器中,导航回Windows 日志 -> 安全部分。
第二:在右侧栏中选择创建自定义视图...。
第三:单击显示的位置并输入要查看的事件的 ID。或者,您还可以通过在User:文本框中指定用户来按用户名进行过滤。选择确定。
事件 ID 事件类型 4624 登录 4672 特殊登录 4634 注销
第四:为您的视图命名,并选择性地选择一个文件夹来放置它。单击OK。
现在您将能够在自定义视图 -> 您的视图名称下的事件查看器中查看您的过滤器。