什么是在事件查看器事件ID为锁定，解锁在Windows XP的计算机时，Windows 7， Windows Vista中和Windows Server 2008的 ？

事件ID，以寻找在Vista之前的Windows是528 ， 538和680 。 528通常代表工作站的成功解锁。

对于较新的Windows版本的代码不同，请参见下面的回答更多的相关信息。

锁事件ID是4800和解锁是4801，您可以在安全日志中找到它们。 你可能要激活他们的审核使用本地安全策略 （secpol.msc，在Windows XP中本地安全设置 ） - > 本地策略 - > 审核策略 。 对于Windows 10见下图。

看在安全事件说明在Windows 7和Windows Server 2008 R2下的子目录：其他登录/注销活动 。

您将需要启用这些事件的记录。 打开组策略编辑器，这样做：

运行 - >输入gpedit.msc

并配置以下类别：

计算机配置 - >
Windows设置 - >
安全设置 - >
高级审核策略配置 - >
系统审核策略-本地组策略对象 - >
登录/注销 - >
审核其他登录/注销活动

（在解释标签它说：“......让你......审计锁定和解锁工作站”。）

为了识别解锁屏幕，我相信你可以使用ID 4624但是你还需要看看登录类型，在这种情况下是7： http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid = 4624

对于注销事件ID是4634

不幸的是，没有这样的事情锁定/解锁。 你所要做的是：

1. 点击“筛选当前日志...”
2. 选择XML选项卡和“手动编辑查询”点击

3. 输入以下查询：

     <QueryList>    <询问ID = “0” 路径= “安全”>      <选择路径=“安全”>      * [EVENTDATA [数据[@名称= '登录类型'] = '7']       和       （系统[（事件ID = '4634'）]或系统[（事件ID = '4624'）]）       ] </选择>    </查询>  </ QueryList> 

而已

对于新版本的Windows（包括但不限于在Windows 10和Windows Server 2016），事件ID是：

• 4800 - 锁定工作站。
• 4801 - 是锁定工作站。

锁定和解锁工作站还涉及以下登录和注销事件：

• 4624 - 帐户已成功登录。
• 4634 - 一个帐户被注销。
• 4648 - 一个是登录试图使用明确凭据。

当使用终端服务会话，锁定和解锁也可以包括下列事件如果会话断开，事件4778可替换事件4801：

• 4779 - 会话从窗口站断开。
• 4778 - 重新会话已连接到窗口站。

事件4800和4801默认情况下不审计，都必须用本地组策略编辑器（启用gpedit.msc ）或本地安全策略（ secpol.msc ）。

使用本地组策略编辑器中的策略的路径是：

• 本地计算机策略
• 电脑配置
• Windows设置
• 安全设定
• 高级审计策略配置
• 系统审核策略 - 本地组策略对象
• 登录/注销
• 审核其他登录/注销活动

使用本地安全策略的策略的路径是本地组策略编辑器的路径的子集：

• 安全设定
• 高级审计策略配置
• 系统审核策略 - 本地组策略对象
• 登录/注销
• 审核其他登录/注销活动

安全设置 - >高级审核策略 - >系统审核 - >登录/注销 - >审核其他登录/关活动 - >在成功

启用以下内容：

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

视窗10个专业

对于Windows 10，用于锁= 4800和解锁= 4801的事件ID。

由于它在马里奥和用户00000提供的回答说，你将需要启用锁的日志记录，并使用通过运行输入gpedit.msc并导航到他们指定的分支其上述方法解开事件：

计算机配置 - > Windows设置 - >安全设置 - >高级审核策略配置 - >系统审核策略 - 本地组策略对象 - >登录/注销 - >审核其他登录/注销

启用成功和失败事件。

使这些事件的记录后，您可以筛选事件ID 4800和4801直接。

因为我只是用它锁定和解锁我的电脑后，我过滤的安全日志此方法适用于Windows 10。