Unser Unternehmen betreibt Win10 Enterprise-Systeme und die Remote-Anmeldung erfolgt über PIV und Pulse Secure. Beim Betrachten der Anmelde-/Abmeldezeiten eines Benutzers habe ich festgestellt, dass die Codes 811 und 812 Tags haben, die mit diesen Ereignissen verknüpft sind. Die Tag-Nummern sind 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 12 und 13. Weiß jemand zufällig, was diese Tag-Ereignisse hier sind? Oder wo ich einen Verweis darauf finden kann? Ben N hat in diesem Forum am 3. Januar 2021 diese ersten 6 Einträge bereitgestellt: 2=Anmeldung (SessionEnv, TermSrv, Profile, Sens oder GPClient) Gibt es einen Kontext zu diesen Unterschieden? 3=Abmelden (Dot3svc, Wlansvc, SessionEnv, Profile, GPClient, TermSrv, Sens) 4=Sperren (unabhängig davon ob automatisch oder manuell) (TermSrv, Sens) 5=Entsperren (TermSrv, Sens) 6=Bildschirmschoner starten 7=Bildschirmschoner stoppen
Zu diesen Nummern ist nur minimaler Text in der Ereignisanzeige zu sehen, wie hier zu sehen: 0: TermSrv, GPClient, TrustedInstaller) 1: TermSrv) 8: SessionEnv, Sens)
9: SessionEnv, Sens) 12: TermSrv, Sens, GPClient, SessionEnv) 13: GPClient, TermSrv)
Wir wären für jeden Kontext, auf den sich die Codes und der zugehörige Text beziehen, SEHR dankbar.
Antwort1
Ich habe das Gleiche selbst untersucht, alsMicrosoft-Windows-Winlogon/OperationalProtokolle scheinen eine einigermaßen zuverlässige Quelle zur Feststellung von Benutzeraktivitäten wie Anmelden/Abmelden und Sperren/Entsperren zu sein.
Beachten Sie, dass ich mich hauptsächlich fürinteraktivEs fanden Aktivitäten im Zusammenhang mit der Konsole statt, daher habe ich mich bei meinen Untersuchungen darauf konzentriert.
Ich habe Ereignisse von einer Handvoll Windows 10-Systemen abgetastet, auf denen moderne Build-Versionen ausgeführt wurden. Ich habe Aktionen ausgeführt, wie z. B. die interaktive Anmeldung an der Konsole, das Sperren und Entsperren von Sitzungen, die Verwendung der Funktion „Benutzer wechseln“ und die Verwendung von Terminaldienstbefehlen wie „Benutzersitzungen“ tsdisconund „ logoffgegen Benutzersitzungen“.
Da auf die Ereignis-ID 811 („Behandlung des Benachrichtigungsereignisses begonnen“) in den allermeisten Fällen durchgehend eine 812 („Behandlung des Benachrichtigungsereignisses abgeschlossen“) folgt, habe ich den Datensatz, mit dem ich gearbeitet habe, so gefiltert, dass er nur die Ereignis-ID 812 enthält.
Ereignisse, bei denen SYSTEM die Benutzer-ID ist, scheinen in vielen Situationen protokolliert zu werden. Ich habe beschlossen, diese Ereignisse zu ignorieren, da ich in erster Linie an Aktivitäten interessiert war, die von Endbenutzern selbst durchgeführt wurden.
In den Protokollen sind mehrere Werte für SubscriberName vorhanden. Während ich zunächst davon ausging, dass Ereignisse mit einem SubscriberName vonTermSrvvon größter Relevanz wäre, war dies nicht immer der Fall. (Beispielsweise tsdiscongenerierte die Verwendung für eine Sitzung ein Ereignis mit dem relevanten UserID-Wert, einem Ereigniswert von8und einem Abonnentennamen vonSens.)
Vor diesem Hintergrund sind hier meine Erkenntnisse:
- 0 und 1: Sind nur vorhanden, wenn die Benutzer-ID NT AUTHORITY\SYSTEM ist, und sind die einzigen eindeutigen Werte, die vorhanden sind, wenn der Benutzer das lokale SYSTEM ist.
- 2 und 12: Einloggen
- 3 und 13: Abmelden
- 4: Sitzung gesperrt
- 5: Sitzung entsperrt
- 8: Sitzung auf Festplatte angehalten (z. B. wenn „Benutzer wechseln“ ausgewählt oder
tsdisconverwendet wird). - 9: Sitzung von Festplatte fortgesetzt.