我們公司運行Win10 Enterprise系統並使用PIV和Pulse Secure進行遠端登入。在查看使用者的登入/登出時間時,我發現代碼 811 和 812 具有與這些事件關聯的標籤。標籤編號為 0、1、2、3、4、5、6、7、8、9、12 和 13。或者我可以在哪裡找到它們的參考資料?本論壇上的 Ben N 於 2021 年 1 月 3 日提供了前 6 個條目:2=登入(SessionEnv、TermSrv、Profiles、Sens 或 GPClient)有關這些差異的任何上下文嗎? 3=註銷(Dot3svc、Wlansvc、SessionEnv、Profiles、GPClient、TermSrv、Sens) 4=鎖定(無論自動或手動)(TermSrv、Sens) 5=解鎖(TermSrv、Sens) 6=
事件檢視器中顯示的與這些數字相關的文字最少,如下所示: 0: TermSrv, GPClient, TrustedInstaller) 1: TermSrv) 8: SessionEnv, Sens)
9: SessionEnv, Sens) 12: TermSrv, Sens, GPClient, SessionEnv ) 13: GPClient、TermSrv)
任何有關代碼和相關文本所指內容的上下文都將受到極大的讚賞。
答案1
我自己也一直在調查同樣的事情Microsoft-Windows-Winlogon/操作日誌似乎是確定用戶活動(例如登入/登出和鎖定/解鎖)的可靠來源。
請注意,我最感興趣的是互動的活動發生在控制台上,所以我的研究集中在這一點上。
我從一些運行現代建置版本的 Windows 10 系統中採樣了事件。我執行了一些操作,例如互動式登入控制台、鎖定和解鎖會話、使用切換使用者功能以及使用終端服務命令(例如tsdiscon和logoff針對使用者會話)。
由於在絕大多數情況下,EventID 811(「開始處理通知事件」)似乎始終後面跟著 812(「完成處理通知事件」),因此我過濾了正在使用的資料集,僅包含事件 ID 812 。
在許多情況下,似乎都會記錄以 SYSTEM 為使用者 ID 的事件。我決定忽略這些事件,因為我主要對最終用戶自己執行的活動感興趣。
日誌中存在多個 SubscriberName 值。雖然我最初假設 SubscriberName 為術語服務是最相關的,但情況並非總是如此。 (例如,tsdiscon針對會話使用產生具有相關 UserID 值的事件,事件值為8和 SubscriberName 為桑斯.)
考慮到所有這些,以下是我的發現:
- 0 和 1:僅當 UserId 為 NT AUTHORITY\SYSTEM 時才出現,並且是當使用者為本機 SYSTEM 時出現的唯一不同值。
- 2 和 12: 登入
- 3和13: 註銷
- 4:會話已鎖定
- 5:會話已解鎖
- 8:會話暫停到光碟(例如選擇或
tsdiscon使用「切換使用者」時)。 - 9:從光碟恢復會話。