Наша компания использует системы Win10 Enterprise и удаленный вход с использованием PIV и Pulse Secure. При просмотре времени входа/выхода пользователя я обнаружил, что коды 811 и 812 имеют теги, связанные с этими событиями. Номера тегов: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 12 и 13. Кто-нибудь случайно не знает, что это за события тегов? Или где я могу найти ссылку на них? Ben N на этом форуме предоставил эти первые 6 записей 3 января 2021 года: 2=logon (SessionEnv, TermSrv, Profiles, Sens или GPClient) Какой-нибудь контекст по этим различиям? 3=выход из системы (Dot3svc, Wlansvc, SessionEnv, Profiles, GPClient, TermSrv, Sens) 4=блокировка (независимо от того, автоматическая она или ручная) (TermSrv, Sens) 5=разблокировка (TermSrv, Sens) 6=запуск хранителя экрана 7=остановка хранителя экрана
В средстве просмотра событий отображается минимальный текст, связанный с этими числами, как показано здесь: 0: TermSrv, GPClient, TrustedInstaller) 1: TermSrv) 8: SessionEnv, Sens)
9: SessionEnv, Sens) 12: TermSrv, Sens, GPClient, SessionEnv) 13: GPClient, TermSrv)
Любой контекст относительно того, к чему относятся коды и связанный с ними текст, будет ОЧЕНЬ ПРИЗНАТЕЛЕН.
решение1
Я сам исследовал то же самое, как иMicrosoft-Windows-Winlogon/ОперационныйЖурналы кажутся достаточно надежным источником для определения действий пользователя, таких как вход/выход из системы и блокировка/разблокировка.
Обратите внимание, что меня больше всего интересуетинтерактивныйдействия происходили против консоли, поэтому мое исследование было сосредоточено на ней.
Я отобрал события из нескольких систем Windows 10, работающих под управлением современных версий сборки. Я выполнил такие действия, как интерактивный вход в консоль, блокировка и разблокировка сеансов, использование функции переключения пользователя и использование команд службы терминалов, таких как tsdisconи logoffпротив сеансов пользователей.
Поскольку за событием EventID 811 («начата обработка события уведомления») в подавляющем большинстве случаев неизменно следует событие 812 («завершена обработка события уведомления»), я отфильтровал набор данных, с которым работал, чтобы включить только событие Event ID 812.
События, где SYSTEM — это идентификатор пользователя, похоже, регистрируются во многих ситуациях. Я решил проигнорировать эти события, поскольку меня в первую очередь интересовали действия, выполняемые самими конечными пользователями.
В журналах присутствует несколько значений для SubscriberName. Хотя я изначально предполагал, что события с SubscriberNameTermSrvбыло бы наиболее релевантным, это не всегда так. (Например, использование tsdisconдля сеанса сгенерировало событие с соответствующим значением UserID, значение Event8и Имя подписчикаСенс.)
Учитывая все это, вот мои выводы:
- 0 и 1: присутствуют только в том случае, если UserId — NT AUTHORITY\SYSTEM, и являются единственными отдельными значениями, когда пользователь — локальная система SYSTEM.
- 2 и 12: Вход в систему
- 3 и 13: Выйти
- 4: Сессия заблокирована
- 5: Сессия разблокирована
- 8: Сеанс приостановлен на диске (например, при выборе или
tsdisconиспользовании функции «Сменить пользователя»). - 9: Сеанс возобновлен с диска.