Jak zobrazit historii odhlášení ve Windows 10

V systému Windows 10 můžeme provádět stovky administrativních a podpůrných úkolů a jedním z nich je podrobná analýza odhlášení každého uživatele. Operační systém Windows 10 je schopen sledovat celý proces odhlášení a odtud zapsat do systémového protokolu řadu událostí, ke kterým můžeme přistupovat později, abychom získali všechny potřebné informace pro administrativní nebo auditní účely.

K přístupu k tomuto typu informací nebude nutné používat nástroje nebo software třetích stran, protože Windows 10 integruje nástroj nazvaný Prohlížeč událostí, kde jsou všechny systémové události hostovány podle kategorií (Systém, Zabezpečení atd.) A odtud máme možnost centrálně řídit každou událost, ke které v systému a jeho aplikacích dojde.

Společnost Microsoft vyvinula řadu událostí pro každou akci, která se provádí v systému Windows 10, v případě odhlášení z ID je následující:

ID události 4647Odhlášení iniciované uživatelem. Tato událost je generována při zahájení odhlášení. Nemůže dojít k žádné jiné aktivitě iniciované uživatelem. Tuto událost lze interpretovat jako událost odhlášení ručně nebo automaticky.

Nyní Solvetic vysvětlí, jak můžeme toto ID vidět prostřednictvím prohlížeče událostí a odtud mít lepší možnosti analýzy.

Zobrazte historii odhlášení pomocí události odhlášení ve Windows 10


Nejprve se podívejme, jak vstoupit do prohlížeče, aby bylo možné filtrovat události.

Krok 1
Pro přístup k tomuto prohlížeči událostí máme následující možnosti:

  • Klikněte pravým tlačítkem na nabídku Start nebo použijte následující klávesy a v zobrazeném seznamu vyberte „Prohlížeč událostí“.

+ X

  • Použijte následující kombinaci kláves a spusťte příkaz „eventvwr.msc“ a stiskněte Enter nebo OK.

+ R.

  • Do vyhledávacího pole Windows 10 zadejte výraz „události“ a tam vyberte prohlížeč

Krok 2
Jakmile přistoupíme k Prohlížeči událostí, přejdeme do sekce „Protokoly Windows“ a tam vybereme kategorii „Zabezpečení“, kde uvidíme následující.

ZVĚTŠIT

Krok 3
Nyní musíme záznam filtrovat pomocí některé z následujících možností:

  • Klikněte na řádek „Filtrovat aktuální záznam“ umístěný na pravé straně.
  • Přejděte do nabídky „Akce“ a tam vyberte „Filtrovat aktuální záznam“.
  • Klikněte pravým tlačítkem na „Zabezpečení“ a vyberte „Filtrovat aktuální záznam“.

Krok 4
Při použití kterékoli z těchto možností se zobrazí následující okno, kde musíme v poli „Všechna ID“ definovat ID události 4647:

Krok 5
Existují další možnosti, jako je hledání tohoto ID na různých síťových počítačích nebo pro více uživatelů, v tomto případě to bude provedeno lokálně, takže ponecháme výchozí možnost. Při zadávání ID 4647 klikneme na tlačítko „Přijmout“ a použijeme filtr a budeme moci vidět pouze události související s tímto ID odhlášení z relace:

ZVĚTŠIT

Krok 6
Můžeme dvakrát kliknout na některou ze zobrazených událostí a získat podrobné informace jako např. Toto ID 4647 je generováno, když byl zahájen proces odhlášení s konkrétním účtem pomocí funkce odhlášení.

  • Počítač, uživatel a doména, kde bylo provedeno odhlášení
  • Typ registru
  • Datum a čas ukončení relace
  • Zařízení, ve kterém byl proces prováděn a další.

Vidíme, jak jednoduchý systém Windows 10 nám dává možnost podrobně analyzovat přihlašovací údaje v systému.

wave wave wave wave wave