Esistono centinaia di attività amministrative e di supporto che possiamo svolgere in Windows 10 e una di queste è analizzare in dettaglio ogni logout dell'utente. Il sistema operativo Windows 10 è in grado di tracciare l'intero processo di disconnessione e da lì scrivere una serie di eventi nel registro di sistema a cui possiamo accedere in seguito per ottenere tutte le informazioni necessarie per scopi amministrativi o di controllo. .
Per accedere a questo tipo di informazioni non sarà necessario utilizzare strumenti o software di terze parti poiché Windows 10 integra un'utilità chiamata Visualizzatore eventi in cui sono ospitati tutti gli eventi di sistema per categoria (Sistema, Sicurezza, ecc.) e da lì abbiamo l'opportunità di controllare centralmente ogni evento che si verifica nel sistema e nelle sue applicazioni.
Microsoft ha sviluppato una serie di eventi per ogni azione che viene eseguita all'interno di Windows 10, in caso di disconnessione l'ID è il seguente:
ID evento 4647Disconnessione avviata dall'utente. Questo evento viene generato all'avvio di un logout. Non può verificarsi nessun'altra attività avviata dall'utente. Questo evento può essere interpretato come un evento di disconnessione manualmente o automaticamente.
Ora Solvetic spiegherà come possiamo vedere questo ID attraverso il visualizzatore di eventi e da lì avere migliori opzioni di analisi.
Visualizza la cronologia di disconnessione con l'evento di disconnessione in Windows 10
Vediamo prima come entrare nel Viewer per poter filtrare gli eventi.
Passo 1
Per accedere a questo visualizzatore di eventi abbiamo le seguenti opzioni:
- Fare clic con il pulsante destro del mouse sul menu Start o utilizzare i seguenti tasti e nell'elenco visualizzato selezionare "Visualizzatore eventi".
+ X
- Utilizzare la seguente combinazione di tasti ed eseguire il comando "eventvwr.msc" e premere Invio o OK.
+ R
- Dalla casella di ricerca di Windows 10 inserisci il termine "eventi" e lì seleziona il visualizzatore
Passo 2
Una volta che accediamo al Visualizzatore eventi, andremo alla sezione "Registri di Windows" e lì selezioniamo la categoria "Sicurezza" dove vedremo quanto segue.
INGRANDIRE
Passaggio 3
Ora dobbiamo filtrare il record utilizzando una delle seguenti opzioni:
- Fare clic sulla riga "Filtra record corrente" situata sul lato destro.
- Vai al menu "Azione" e lì seleziona "Filtra record corrente".
- Fare clic con il tasto destro su "Sicurezza" e selezionare "Filtra record corrente".
Passaggio 4
Quando si utilizza una di queste opzioni, verrà visualizzata la seguente finestra in cui è necessario definire l'ID evento 4647 nel campo "Tutti gli ID":
Passaggio 5
Ci sono opzioni aggiuntive come la ricerca di questo ID su vari computer di rete o per più utenti, in questo caso verrà eseguita localmente in modo da lasciare l'opzione predefinita. Inserendo l'ID 4647 clicchiamo sul pulsante "Accetta" per applicare il filtro e potremo vedere solo gli eventi relativi a questo ID di disconnessione della sessione:
INGRANDIRE
Passaggio 6
Possiamo fare doppio clic su uno qualsiasi degli eventi visualizzati per ottenere informazioni dettagliate come. Questo ID 4647 viene generato quando il processo di logout è stato avviato con un account specifico utilizzando la funzione di logout.
- Computer, utente e dominio in cui è stato eseguito il logout
- Tipo di registro
- Data e ora di chiusura della sessione
- Attrezzature in cui è stato eseguito il processo e altro ancora.
Possiamo vedere come Windows 10 semplice ci offra la possibilità di analizzare in dettaglio gli accessi nel sistema.
