如何查看 Windows 服务器中的登录事件

在 Windows 中，您可以为操作系统检测到的某些事件启用“审核策略”。一种这样的审计策略是审计服务器上发生的任何登录/注销事件。这可能是记录哪些帐户正在登录您的服务器、何时以及从何处登录的好方法。

本指南将介绍如何启用审核登录事件、查看它们以及创建自定义视图以过滤仅查看登录事件。

启用登录事件审核

所有审核策略都是组策略的一部分，因此可以从本地组策略编辑器中启用或禁用。

首先：打开组策略编辑器。

第二：导航到计算机配置-> Windows 设置-> 安全设置-> 本地策略-> 审核策略。

第三：右键单击“审核登录事件”并选择“属性” 。

第四：选中“成功”和“失败”复选框以启用对成功和失败登录尝试的审核。单击确定。

现在登录审核已启用，任何未来的登录和注销事件都将在事件查看器中进行跟踪。

查看登录事件

要查看现在正在审核的登录事件，您可以从事件查看器中查看它们。

首先：打开事件查看器。

第二：导航到Windows Logs -> Security。

事件查看器的这一部分将列出所有登录和注销事件。选择其中一个事件将在底部的框中​​显示该事件的详细信息。

仅过滤登录事件

要仅查看登录事件列表而不是已检测到的每个安全事件，您可以创建自定义视图。

首先：在事件查看器中，导航回Windows 日志 -> 安全部分。

第二：在右侧栏中选择创建自定义视图...。

第三：单击显示的位置并输入要查看的事件的 ID。或者，您还可以通过在User:文本框中指定用户来按用户名进行过滤。选择确定。

事件 ID 事件类型 4624 登录 4672 特殊登录 4634 注销

第四：为您的视图命名，并选择性地选择一个文件夹来放置它。单击OK。

现在您将能够在自定义视图 -> 您的视图名称下的事件查看器中查看您的过滤器。