Jak zaznamenávat a vypínat protokoly událostí v systému Windows 10
Ve Windows můžete sledovat všechna přihlášení avypnutí pomocí Prohlížeče událostí. Pokud váš systém používá více uživatelů a chcete vědět, který uživatel se přihlásil a odhlásil, postupujte podle níže uvedených kroků a protokolovejte činnosti související s vypínáním a přihlášením do prohlížeče událostí v systému Windows 10.
Systém Windows obsahuje některé neuvěřitelné nástroje, které při správném používání poskytnou spoustu kontroly a informací. Prohlížeč událostí je jedním z takových nástrojů.
V případě, že nevíte, systém Windows zaznamená téměř každý protokoludálost, která se stane ve vašem systému. Všechny tyto protokoly můžete zobrazit v Prohlížeči událostí. Některé události, jako je přihlášení a odhlášení, jsou však do Prohlížeče událostí přihlášeny až po výslovném povolení zásad. Jakmile začnete protokolovat činnosti přihlašování a vypínání, můžete snadno zjistit, kdy se někdo přihlásil do vašeho počítače kontrolou časů protokolování.
Takže, bez dalšího povzbuzení, dovolte mi ukázat, jak se můžete přihlásit k přihlášení a odhlášení událostí do prohlížeče událostí.
Protokolovat činnosti vypnutí a přihlášení do Prohlížeče událostí
Jak jsem řekl dříve, musíte povolit jednoduchézásady v Editoru zásad skupiny. Dobrá věc na této zásadě je, že zaznamená všechny úspěšné a neúspěšné přihlášení nebo odhlášení. Teoreticky tedy můžete říct, zda se někdo pokusil a nepodařilo se přihlásit do vašeho počítače.
1. Otevřete Editor zásad skupiny vyhledáním "Upravit zásady skupiny" a kliknutím na výsledek. Můžete také hledat "gpedit.msc".
2. Všechny zásady jsou rozděleny do několika různých složek. Tyto složky můžete vidět na levém panelu. Přejděte do následující složky na levém panelu.
Konfigurace počítače → Nastavení Windows → Nastavení zabezpečení → Místní zásady → Zásady auditu
3. Na pravém panelu vyhledejte a dvakrát klikněte na zásadu „Audit přihlašovacích událostí“.
4. V okně vlastností zásady zaškrtněte políčka „Úspěch“ i „Selhání“ a změny uložte kliknutím na tlačítka „Použít“ a „Ok“. Zaškrtnutím obou políček budete moci protokolovat úspěšné i neúspěšné přihlašovací události.
5. Chcete-li použít změny, restartujte Windows.
Po restartování systém Windows zaznamená všechny přihlašovací a vypínací aktivity do Prohlížeče událostí.
Zobrazit přihlašovací a vypínací protokoly
Jakmile povolíte protokoly, je to pouzeje přirozené, že chcete tyto protokoly vidět podle potřeby. Dobrá věc je, že Windows zaznamenává události vypnutí a přihlášení s jejich ID události. Což znamená, že tyto události můžete snadno najít.
1. Chcete-li zobrazit události přihlášení a odhlášení, otevřete Prohlížeč událostí vyhledáním v nabídce Start.
2. V Prohlížeči událostí přejděte na „Prohlížeč událostí → Protokoly Windows → Zabezpečení“ zobrazený na levém panelu.
3. Chcete-li najít přihlašovací nebo vypínací události, vyhledejte ID události 4624 a 4634. Všechna ID jsou uvedena v sekci ID události na prostředním panelu.
4. Někdy může být docela těžké najít událost, kterou hledáte. To platí zejména, pokud máte spoustu událostí. V těchto situacích můžete použít vestavěnou funkci filtru. Chcete-li filtrovat události, klikněte na možnost „Filtrovat aktuální protokol“, která se zobrazí na pravém panelu.
5. V okně filtru vyberte v rozevírací nabídce Zaznamenaná položka „Last Hour“, do pole nad kategorií úkolů zadejte ID události (4624 pro přihlašovací události, 4634 pro odhlášené události) a klikněte na tlačítko „Ok“.
Rychlý tip: ID událostí můžete oddělit pomocí ,
pro zobrazení více událostí. Chcete-li například zobrazit události přihlášení a odhlášení, zadejte do pole ID události „4624, 4634“.
6. Výše uvedená akce zobrazí výsledky filtru a zobrazí pouze události, které vás zajímají.
To je vše. Je snadné protokolovat činnosti přihlášení a vypnutí a vědět, kdy se někdo přihlásí do počítače.