Como revisar eventos de login em um servidor Windows

No Windows, você pode habilitar "políticas de auditoria" para determinados eventos que o sistema operacional detecta.Uma dessas políticas de auditoria é auditar eventos de login / logoff que ocorram no seu servidor.Isso pode ser uma boa maneira de registrar quais contas estão fazendo login no seu servidor, quando e de onde.

Este guia passará sobre como habilitar eventos de login de auditoria, visualizá-los e criar uma visualização personalizada para filtrar a visualização apenas para os eventos de login.

Habilitar auditoria de evento de logon

Todas as políticas de auditoria fazem parte da Política de Grupo e, como tal, podem ser habilitadas ou desabilitadas no Editor de Política de Grupo Local.

Primeiro: Abra o Editor de Política de Grupo.

Segundo: Navegar para Configuração do computador -> Configurações do Windows -> Configurações de segurança -> Políticas locais -> Política de auditoria.

Terceiro: Clique com o botão direito do mouse em 'Eventos de logon de auditoria' e selecione Propriedades.

Quarto: Verifique tanto o Sucesso e Fracasso Caixas de seleção para ativar a auditoria de tentativas de login bem-sucedidas e com falha. Clique Está bem.

Agora, a auditoria de login está ativada e quaisquer eventos de logon e logon futuros serão rastreados no visualizador de eventos.

Visualizando eventos de logon

Para visualizar os eventos de logon que agora estão sendo auditados, você pode visualizá-los no Visualizador de Eventos.

Primeiro: Abra o Visualizador de eventos.

Segundo: Navegar para Logs do Windows -> Segurança.

Esta seção do Visualizador de Eventos terá eventos de logon e logoff listados.Selecionar um dos eventos exibirá os detalhes do evento na caixa na parte inferior.

Filtrar apenas eventos de logon

Para visualizar apenas a lista de eventos de login e não todos os eventos de segurança detectados, você pode criar uma visualização personalizada.

Primeiro: No Visualizador de eventos, navegue de volta para o Logs do Windows -> Segurança seção.

Segundo: Selecione Criar visualização personalizada ... na barra lateral direita.

Terceiro: Clique em onde ele diz e insira os IDs dos eventos que você deseja visualizar. Opcionalmente, você também pode filtrar por nome de usuário especificando um usuário no Do utilizador: caixa de texto. Selecione ESTÁ BEM.

ID do evento Tipo de evento 4624 Logon 4672 Logon especial 4634 Logoff

Quarto: Dê um nome à sua visualização e, opcionalmente, selecione uma pasta para colocá-la. Clique Está bem.

Agora você poderá ver o seu filtro no Visualizador de Eventos em Visualizações personalizadas -> nome do seu nome.