首先通过事件查看器查看登录事件,依次打开eventvwr.msc→Windows日志→安全,筛选事件ID为4624(成功登录)或4625(失败登录);其次可用PowerShell命令Get-WinEvent查询并导出登录记录;若无日志则需通过gpedit.msc启用“审核登录事件”策略,勾选成功和失败选项并执行gpupdate /force更新策略。
如果您发现Windows系统登录异常,或者需要排查账户登录行为,可以通过系统内置的日志功能查看详细的登录事件记录。这些信息有助于识别非法访问或调试登录问题。
本文运行环境:Dell XPS 13,Windows 11
一、使用事件查看器查看登录事件
事件查看器是Windows系统自带的工具,能够记录并展示系统、安全和应用程序日志。通过筛选安全日志中的登录事件ID,可以快速定位用户登录行为。
1、按下 Win + R 键打开“运行”窗口,输入 eventvwr.msc,然后按回车键启动事件查看器。
2、在左侧导航栏中依次展开“Windows 日志”,然后点击“安全”。
3、在右侧操作面板中点击“筛选当前日志”。
4、在“事件ID”输入框中输入 4624,表示成功登录事件,也可添加 4625 查看失败的登录尝试。
5、点击“确定”后,日志列表将只显示匹配的登录事件,双击任一事件可查看详细信息,包括登录时间、账户名、登录类型等。
二、通过PowerShe
ll命令查询登录事件
ll命令查询登录事件PowerShell提供了更灵活的日志查询方式,适合批量获取或自动化分析登录记录。
1、右键点击“开始”菜单,选择“Windows Terminal(管理员)”或“PowerShell(管理员)”。
2、输入以下命令查询最近的成功登录事件:
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624}
3、若要筛选特定用户的登录记录,可添加用户名过滤条件:
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624 -and $_.Message -like \"*用户名*\"}
4、将结果导出为文本文件以便后续分析:
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624} | Out-File C:\login_events.txt
三、启用审核策略以确保记录登录事件
若系统未记录登录事件,可能是因为审核策略未开启。需手动启用“审核登录事件”策略以确保日志生成。
1、按下 Win + R,输入 gpedit.msc 打开本地组策略编辑器(仅限专业版及以上版本)。
2、依次进入“计算机配置” → “Windows 设置” → “安全设置” → “本地策略” → “审核策略”。
3、双击“审核登录事件”,勾选“成功”和“失败”选项,然后点击“确定”。
4、重启系统或运行命令 gpupdate /force 强制更新组策略。
