Има стотици административни задачи и задачи за поддръжка, които можем да изпълним в Windows 10 и една от тях е да анализираме подробно всеки изход от потребителя. Операционната система Windows 10 може да проследи целия процес на излизане и оттам да запише поредица от събития в системния регистър, до които можем да получим достъп по -късно, за да получим цялата необходима информация за административни или одиторски цели.
За достъп до този тип информация няма да е необходимо да се използват инструменти или софтуер на трети страни, тъй като Windows 10 интегрира помощна програма, наречена Event Viewer, където всички системни събития се хостват по категории (Система, Защита и т.н.) и от там имаме възможност за централно управление на всяко събитие, което се случва в системата и нейните приложения.
Microsoft е разработила поредица от събития за всяко действие, което се извършва в Windows 10, в случай на излизане от идентификационния номер е както следва:
Идент. № 4647Инициативен от потребителя изход. Това събитие се генерира при стартиране на излизане. Не може да възникне друга инициирана от потребителя дейност. Това събитие може да се тълкува като събитие за излизане ръчно или автоматично.
Сега Solvetic ще обясни как можем да видим този ID чрез инструмента за преглед на събития и оттам ще имаме по -добри възможности за анализ.
Преглед на историята на излизане със събитие за излизане в Windows 10
Нека първо да видим как да влезем във Viewer, за да можем да филтрираме събитията.
Етап 1
За достъп до тази програма за преглед на събития имаме следните опции:
- Щракнете с десния бутон върху менюто "Старт" или използвайте следните клавиши и в показания списък изберете "Преглед на събития".
+ X
- Използвайте следната комбинация от клавиши и изпълнете командата "eventvwr.msc" и натиснете Enter или OK.
+ R
- От полето за търсене на Windows 10 въведете термина „събития“ и там изберете зрителя
Стъпка 2
След като влезем в Event Viewer, ще отидем в секцията „Windows Logs“ и там избираме категорията „Security“, където ще видим следното.
Увеличете
Стъпка 3
Сега трябва да филтрираме записа, използвайки някоя от следните опции:
- Кликнете върху реда „Филтриране на текущия запис“, разположен от дясната страна.
- Отидете в менюто „Действие“ и там изберете „Филтриране на текущия запис“.
- Щракнете с десния бутон върху „Защита“ и изберете „Филтриране на текущия запис“.
Стъпка 4
Когато използвате някоя от тези опции, ще се покаже следният прозорец, където трябва да дефинираме ID на събитието 4647 в полето „Всички идентификатори“:
Стъпка 5
Има допълнителни опции, като например търсене на този идентификатор на различни мрежови компютри или за множество потребители, в този случай това ще се направи локално, така че да оставим опцията по подразбиране. Когато въвеждаме ID 4647, кликваме върху бутона „Приемам“, за да приложим филтъра и ще можем да видим само събитията, свързани с този идентификатор за излизане от сесията:
Увеличете
Стъпка 6
Можем да щракнем двукратно върху някое от показаните събития, за да получим подробна информация, като например. Този ID 4647 се генерира, когато процесът на излизане е иницииран с конкретен акаунт с помощта на функцията за изход.
- Компютър, потребител и домейн, където е извършено излизането
- Тип регистър
- Дата и час на закриване на сесията
- Оборудване, в което е извършен процесът и др.
Можем да видим колко прост Windows 10 ни дава възможност да анализираме подробно данните за вход в системата.
