У меня относительно новая установка Windows 7 Professional 64-бит со всеми примененными исправлениями. Я пытаюсь протестировать события сбоя входа в систему, чтобы увидеть, как они выглядят и как они будут выглядеть в нашем инструменте управления журналами. Для тестирования я заблокировал экран, ввел неверный пароль (который, конечно, дал сообщение об ошибке), а затем правильно вошел в систему. Затем я проверил просмотр событий, и, к моему удивлению, в журналах безопасности не было событий сбоя входа в систему, но было несколько событий успешного входа!
Редактировать: Извините, случайно отправил. В любом случае, кто-нибудь знает, почему так происходит? Я не могу ничего найти ни в Системе, ни в Приложении. Кажется, это огромная оплошность, что события сбоя входа не сохраняются по умолчанию.
Также вот события, которые я вижу в хронологическом порядке и которые связаны с успешным входом в систему:
- Код: 4648 — Аудит пройден успешно: была предпринята попытка входа с использованием явных учетных данных.
- Код: 4624 — Аудит пройден успешно: вход в учетную запись выполнен успешно.
- Код: 4624 — Аудит пройден успешно: вход в учетную запись выполнен успешно.
- Код: 4672 — Аудит пройден успешно: новому входу в систему назначены особые привилегии.
- Код: 4634 — Аудит пройден успешно: Учетная запись была отключена.
- Код: 4634 — Аудит пройден успешно: Учетная запись была отключена.
Эти два сообщения «выполнен выход из учетной записи» тоже не имеют для меня особого смысла, но они появляются в одно и то же время с событиями входа в систему...
решение1
В редакторе групповой политики:
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
Нужный вам параметр — «Аудит событий входа в систему» — вы можете настроить его на успешный или неудачный вход в систему по отдельности.