Windows 10 – Start und Login Informationen auslesen
Es gibt unterschiedliche Varianten um die Start und Endzeiten des Systems (Hochfahren, Runterfahren), so wie der An-/Abmeldezeiten einzelner Nutzer sichtbar zu machen.
1. Temporäre Filterung
Schritt 1: Öffnen des Ereignisprotokolls
(Win+R => eventvwr.msc)
Schritt 2: Navigieren zu “Windwos-Protokolle” => “System”
Schritt 3: “Aktuelles Protokoll filtern” auf der rechten Seite unter “Aktionen” ausführen.
Schritt 4: Gewünschten Code bei “
Systemstart: 6009
Logon: 4624,4672
Logoff: 4634
2. Dauerhaften Filter anlegen
Schritt 1: Öffnen des Ereignisprotokolls
(Win+R => eventvwr.msc)
Schritt 2: “Aktion” => “Benutzerdefinierte Ansicht erstellen …”
Schritt 3: Folgende Informationen eintragen.
| Feld | Inhalt |
|---|---|
| Protokolliert | Gewünschten Zeitraum eintragen |
| Ereignisebene | Informationen |
| Per Protokoll | Windows-Protokolle |
| Alle Ereignis-IDs | Systemstart: 6009 Logon: 4624,4672 Logoff: 4634 |
Schritt 4: Mit “OK” bestätigen und Filter benennen.
Schritt 5: Das gefilterte Ergebnis wird nun in der “Ereignisanzeige” unter “Benutzerdefinierte Ansichten” geführt.
Hinweis:
Eine Liste möglicher Ereignis-IDs ist bei Microsoft selbst zu finden:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor