So überprüfen Sie Anmeldeereignisse in einem Windows Server

In Windows können Sie "Audit-Richtlinien" für bestimmte Ereignisse aktivieren, dass das Betriebssystem erkennt.Eine solche Audit-Richtlinie besteht darin, alle Anmeldungs- / Logoff-Ereignisse zu prüfen, die auf Ihrem Server auftreten.Dies kann ein guter Weg sein, um zu protokollieren, welche Konten sich an Ihren Server anmelden, wann und von wo.

In diesem Anleitung wird überprüft, wie Sie Auditing-Login-Events aktivieren, sie anzeigen und eine benutzerdefinierte Ansicht erstellen, um die Ansicht auf nur die Anmeldeereignisse zu filtern.

Aktivieren Sie die Überwachung von Anmeldeereignissen

Alle Überwachungsrichtlinien sind Teil der Gruppenrichtlinie und können daher im lokalen Gruppenrichtlinien-Editor aktiviert oder deaktiviert werden.

Zuerst: Öffnen Sie den Gruppenrichtlinien-Editor.

Zweite: Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinie.

Dritte: Klicken Sie mit der rechten Maustaste auf 'Audit-Anmeldeereignisse' und wählen Sie aus Eigenschaften.

Vierte: Überprüfen Sie beide Erfolg und Fehler Kontrollkästchen, um die Überwachung beider erfolgreichen und fehlgeschlagenen Anmeldeversuche zu ermöglichen. Klicken in Ordnung.

Die Anmeldungs-Auditing ist nun aktiviert, und jedes zukünftige Anmelde- und Abmeldeveranstaltungen werden innerhalb des Event-Viewers verfolgt.

Anmeldeereignisse anzeigen

Um die Anmeldeereignisse anzuzeigen, die jetzt geprüft werden, können Sie sie vom Ereignisanzeige anzeigen.

Zuerst: Öffnen Sie die Ereignisanzeige.

Zweite: Navigieren Sie zu Windows-Protokolle -> Sicherheit.

Dieser Abschnitt des Ereignisanzugs verfügt dann über Anmeldungen und Logoff-Ereignisse aufgelistet.Wenn Sie eines der Ereignisse auswählen, wird diese Angaben des Ereignisses in der Box unten angezeigt.

Nur Anmeldeereignisse filtern

Um nur die Liste der Anmeldeereignisse und nicht jedes erkannte Sicherheitsereignis anzuzeigen, können Sie eine benutzerdefinierte Ansicht erstellen.

Zuerst: Navigieren Sie in der Ereignisanzeige zurück zu Windows-Protokolle -> Sicherheit Sektion.

Zweite: Wählen Benutzerdefinierte Ansicht erstellen… in der rechten Seitenleiste.

Dritte: Klicken Sie auf, wo es heißt, und geben Sie die IDs der Ereignisse ein, die Sie anzeigen möchten. Optional können Sie auch nach dem Benutzernamen filtern, indem Sie einen Benutzer in der Nutzer: Textfeld. Wählen IN ORDNUNG.

Ereignis-ID Ereignistyp 4624 Anmeldung 4672 Spezielle Anmeldung 4634 Abmeldung

Vierte: Geben Sie Ihrer Ansicht einen Namen und wählen Sie optional einen Ordner aus, in den Sie ihn einfügen möchten. Klicken Sie auf in Ordnung.

Jetzt können Sie Ihren Filter in der Ereignisanzeige unter anzeigen Benutzerdefinierte Ansichten -> Name Ihrer Ansicht.