sirve - windows event log español
Event Event Eventer para bloquear y desbloquear (5)
¿Cuál es la identificación del evento en el Visor de eventos para bloquear, desbloquear para una computadora en Windows XP, Windows 7, Windows Vista y Windows Server 2008 ?
El ID de evento de bloqueo es 4800 y el desbloqueo es 4801. Puede encontrarlos en los registros de Seguridad. Probablemente tenga que activar su auditoría utilizando la Política de seguridad local (secpol.msc, Configuración de seguridad local en Windows XP) -> Políticas locales -> Política de auditoría .
Consulte Descripción de eventos de seguridad en Windows 7 y en Windows Server 2008 R2 en Subcategoría: Otros eventos de inicio de sesión / cierre de sesión .
Lamentablemente, no hay nada como Bloquear / Desbloquear. Lo que tienes que hacer es:
- Haga clic en "Filtrar registro actual ..."
- Seleccione la pestaña XML y haga clic en "Editar consulta manualmente"
Ingrese la consulta siguiente:
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name=''LogonType'']=''7''] and (System[(EventID=''4634'')] or System[(EventID=''4624'')]) ]</Select> </Query> </QueryList>
Eso es
Los ID de eventos que se deben buscar en Windows anterior a la Vista son 528 , 538 y 680 . 528 generalmente significa desbloqueo exitoso de la estación de trabajo.
Los códigos para las versiones más nuevas de Windows son diferentes, consulte las respuestas a continuación para obtener más información.
Para identificar la pantalla de desbloqueo, creo que puede usar la ID 4624. Pero también debe mirar el Tipo de inicio de sesión, que en este caso es 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid = 4624
Identificador de evento para cerrar sesión es 4634
Tendrá que habilitar el registro de estos eventos. Para hacerlo, abra el editor de políticas de grupo:
ejecutar -> gpedit.msc
y configurando la siguiente categoría:
Configuración de la computadora ->
Configuración de Windows ->
Configuraciones de seguridad ->
Configuración de directiva de auditoría avanzada ->
Políticas de auditoría del sistema - Objeto de política de grupo local ->
Inicio de sesión / Cerrar sesión ->
Auditar otros eventos de inicio / cierre de sesión
(En la pestaña Explicar dice "... le permite auditar ... Bloquear y desbloquear una estación de trabajo").