Er zijn honderden administratieve en ondersteunende taken die we kunnen uitvoeren in Windows 10 en een daarvan is om elke gebruiker uitloggen in detail te analyseren. Het Windows 10-besturingssysteem kan het volledige afmeldingsproces volgen en van daaruit een reeks gebeurtenissen in het systeemlogboek schrijven die we later kunnen openen om alle benodigde informatie voor administratieve of auditdoeleinden te verkrijgen. .
Om toegang te krijgen tot dit soort informatie is het niet nodig om tools of software van derden te gebruiken, aangezien Windows 10 een hulpprogramma met de naam Event Viewer integreert waar alle systeemgebeurtenissen per categorie worden gehost (systeem, beveiliging, enz.) en van daaruit hebben we de mogelijkheid om elke gebeurtenis die zich voordoet in het systeem en zijn toepassingen centraal te beheren.
Microsoft heeft een reeks gebeurtenissen ontwikkeld voor elke actie die wordt uitgevoerd binnen Windows 10, in het geval van uitloggen is de ID als volgt:
Gebeurtenis-ID 4647Door de gebruiker geïnitieerd uitloggen. Deze gebeurtenis wordt gegenereerd wanneer een uitloggen start. Er kan geen andere door de gebruiker geïnitieerde activiteit plaatsvinden. Deze gebeurtenis kan handmatig of automatisch worden geïnterpreteerd als een uitloggebeurtenis.
Nu gaat Solvetic uitleggen hoe we deze ID kunnen zien via de eventviewer en van daaruit betere analyse-opties hebben.
Bekijk uitloggeschiedenis met uitloggebeurtenis in Windows 10
Laten we eerst kijken hoe we de Viewer kunnen openen om gebeurtenissen te kunnen filteren.
Stap 1
Om toegang te krijgen tot deze eventviewer hebben we de volgende opties:
- Klik met de rechtermuisknop op het menu Start of gebruik de volgende toetsen en selecteer in de weergegeven lijst "Event Viewer".
+ X
- Gebruik de volgende toetsencombinatie en voer het commando "eventvwr.msc" uit en druk op Enter of OK.
+ R
- Voer in het zoekvak van Windows 10 de term "evenementen" in en selecteer daar de kijker
Stap 2
Zodra we toegang hebben tot de Event Viewer, gaan we naar het gedeelte "Windows-logboeken" en daar selecteren we de categorie "Beveiliging" waar we het volgende zullen zien.
VERGROTEN
Stap 3
Nu moeten we de record filteren met een van de volgende opties:
- Klik op de regel "Filter huidig record" aan de rechterkant.
- Ga naar het menu "Actie" en selecteer daar "Filter huidig record".
- Klik met de rechtermuisknop op "Beveiliging" en selecteer "Filter huidig record".
Stap 4
Wanneer u een van deze opties gebruikt, wordt het volgende venster weergegeven waarin we de gebeurtenis-ID 4647 moeten definiëren in het veld "Alle ID's":
Stap 5
Er zijn extra opties zoals het zoeken naar deze ID op verschillende netwerkcomputers of voor meerdere gebruikers, in dit geval zal dit lokaal gebeuren zodat we de standaardoptie laten staan. Bij het invoeren van de ID 4647 klikken we op de knop "Accepteren" om het filter toe te passen en kunnen we alleen de gebeurtenissen zien die verband houden met deze sessie-uitlog-ID:
VERGROTEN
Stap 6
We kunnen dubbelklikken op een van de weergegeven gebeurtenissen om gedetailleerde informatie te krijgen, zoals. Deze ID 4647 wordt gegenereerd wanneer het uitlogproces is gestart met een specifiek account met behulp van de uitlogfunctie.
- Computer, gebruiker en domein waar de uitlog is uitgevoerd
- Type register
- Datum en tijd van de sluiting van de sessie
- Apparatuur waarin het proces werd uitgevoerd en meer.
We kunnen zien hoe eenvoudig Windows 10 ons de mogelijkheid geeft om de logins in het systeem in detail te analyseren.
