Nuestra empresa ejecuta sistemas Win10 Enterprise e inicio de sesión remoto mediante PIV y Pulse Secure. Al observar los tiempos de inicio y cierre de sesión de un usuario, encontré que los códigos 811 y 812 tienen etiquetas asociadas con estos eventos. Los números de las etiquetas son 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 12 y 13. ¿Alguien sabe cuáles son estos eventos de etiquetas aquí? ¿O dónde puedo encontrar una referencia a ellos? Ben N en este foro proporcionó estas primeras 6 entradas el 3 de enero de 2021: 2 = inicio de sesión (SessionEnv, TermSrv, Profiles, Sens o GPClient) ¿Algún contexto sobre estas diferencias? 3=cerrar sesión (Dot3svc, Wlansvc, SessionEnv, Profiles, GPClient, TermSrv, Sens) 4=bloquear (independientemente de si es automático o manual) (TermSrv, Sens) 5=desbloquear (TermSrv, Sens) 6=iniciar el protector de pantalla 7=detener el protector de pantalla
Hay un texto mínimo asociado con estos números que se muestran en el visor de eventos, como se ve aquí: 0: TermSrv, GPClient, TrustedInstaller) 1: TermSrv) 8: SessionEnv, Sens)
9: SessionEnv, Sens) 12: TermSrv, Sens, GPClient, SessionEnv ) 13: GPClient, TermSrv)
Cualquier contexto sobre a qué se refieren los códigos y el texto asociado sería MUY APRECIADO.
Respuesta1
Yo mismo he estado investigando lo mismo, ya queMicrosoft-Windows-Winlogon/OperativoLos registros parecen ser una fuente algo confiable para determinar las actividades del usuario, como iniciar/cerrar sesión y bloquear/desbloquear.
Tenga en cuenta que lo que más me interesa esinteractivoactividad que tiene lugar contra la consola, por lo que mi investigación se centró en eso.
Probé eventos de un puñado de sistemas Windows 10 que ejecutan versiones de compilación modernas. Realicé acciones como iniciar sesión interactivamente en la consola, bloquear y desbloquear sesiones, usar la función Cambiar de usuario y usar comandos de Terminal Service como tsdiscony logoffcontra sesiones de usuario.
Como EventID 811 ("comenzó a manejar el evento de notificación") parece ser seguido constantemente por un 812 ("terminó de manejar el evento de notificación") en la gran mayoría de las circunstancias, filtré el conjunto de datos con el que estaba trabajando para incluir solo el ID de evento 812. .
Los eventos en los que SISTEMA es el ID de usuario parecen registrarse en muchas situaciones. Decidí ignorar estos eventos, ya que estaba interesado principalmente en las actividades realizadas por los propios usuarios finales.
Hay varios valores para SubscriberName presentes en los registros. Si bien inicialmente asumí que los eventos con un nombre de suscriptor deTermSrvsería de suma importancia, pero no siempre fue así. (Por ejemplo, el uso tsdisconen una sesión generó un evento con el valor de ID de usuario relevante, un valor de evento de8y un nombre de suscriptor desentidos.)
Con todo eso en mente, aquí están mis hallazgos:
- 0 y 1: solo están presentes cuando el ID de usuario es NT AUTHORITY\SYSTEM y son los únicos valores distintos presentes cuando el usuario es el SISTEMA local.
- 2 y 12: Iniciar sesión
- 3 y 13: Desconectarse
- 4: Sesión bloqueada
- 5: Sesión desbloqueada
- 8: Sesión suspendida en el disco (por ejemplo, cuando se selecciona o
tsdisconse utiliza Cambiar de usuario). - 9: Sesión reanudada desde el disco.