事件查看器eventidlocking和解锁

在Vista之前的Windows中查找的事件ID是528,538和680 。 528通常代表工作站成功解锁。

较新的Windows版本的代码不同，请参阅下面的答案更多的信息。

locking事件ID是4800，解锁是4801.您可以在安全日志中find它们。 您可能必须使用本地安全策略 （secpol.msc，Windows XP中的本地安全设置 ） – > 本地策略 – > 审核策略 激活审核 。

在“ 子类别：其他login/注销事件”下查找Windows 7和Windows Server 2008 R2中安全事件的描述 。

您将需要启用这些事件的logging。 通过打开组策略编辑器来执行此操作：

运行 – > gpedit.msc

并configuration以下类别：

计算机configuration – >
Windows设置 – >
安全设置 – >
高级审核策略configuration – >
系统审计策略 – 本地组策略对象 – >
login/注销 – >
审计其他login/注销事件

（在“ 说明”选项卡中显示“…允许您审核…locking和解锁工作站”。）

要确定解锁屏幕，我相信你可以使用ID 4624.但是，你也需要看看在这种情况下是7的logintypes： http ://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid = 4624

注销的事件ID是4634

不幸的是没有locking/解锁这样的事情。 你必须做的是：

1. 点击“过滤当前日志…”
2. selectXML选项卡并点击“手动编辑查询”

3. input以下查询：

    <QueryList>
      <Query Id =“0”Path =“Security”>
        <selectpath=“安全”>
        * [EVENTDATA [数据[@名称= 'logintypes'] = '7']
        和
         （System [（EventID ='4634'）]或System [（EventID ='4624'）]）
         ] </select>
      </查询>
    </ QueryList>
   

而已