Någonsin undrar om du kan spåra användarinloggningsaktiviteter i Windows så att du kan registrera vilka som är inloggade och när de loggar in? Det här är helt möjligt i Windows-systemet med funktionen Logon Auditing. Spårning av användarinloggning och avloggningsaktiviteter är väldigt användbar i server- eller organisationsmiljöer där data är konfidentiella och i situationer där du bara vill veta "vem gjorde det" i ditt Windows-system. Som standard är funktionen Logon Auditing inaktiverad i Windows. I den här artikeln kan vi se hur du aktiverar Logon Auditing och hur du ser dessa spårningsevenemang på ett Windows-system.

Obs! Inloggningsrevision finns endast i Pro, Ultimate och Enterprise versioner av Windows 8.

Vad är Logon Auditing

Logon Auditing är en inbyggd Windows Group Policy Setting som gör att en Windows-administratör kan logga och granska varje instans av användarnamn och logga ut aktiviteter på en lokal dator eller över ett nätverk. Tillsammans med inloggning och avloggning av händelsehantering kan denna funktion också spåra eventuella misslyckade försök att logga in. Detta är särskilt användbart vid bestämning och analys av eventuella attacker på din Windows-maskin.

Aktivera inloggningsrevision

För att aktivera Logon Auditing måste vi konfigurera inställningar för Windows Grupp Policy. Tryck på "Vinn + R", skriv gpedit.msc och tryck på Enter för att öppna Windows Group Policy Editor.

När du är i grupprincipredigeraren, navigera till "Datorkonfiguration -> Windows Inställningar -> Säkerhetsinställningar -> Lokala policyer" och välj sedan "Granskningspolicy" i den vänstra rutan.

Ovanstående åtgärd visar några policyer i den högra rutan. Här dubbelklickar du på policyen "Audit logon events" för att öppna den. Vänligen förväxla inte "Audit logon events" med "Account logon events" eftersom det är en inställning för ett helt annat syfte.

När fönstret öppnas markerar du både kryssrutorna "Succes" och "Fel". Klicka nu på "Apply" och "Ok" -knapparna för att spara ändringarna.

Det är allt som finns att göra. Från och med den här tiden kommer alla inloggningar, loggar av och misslyckade inloggningsförsök att loggas i händelsevisaren som händelser.

Visa Logon Audit Events

Du kan se alla inloggningar, logga ut och misslyckade inloggningsförsök i Windows Event Viewer. Du kan starta Event Viewer genom att söka i startmenyn. Om du använder Windows 8 kan du starta detsamma med Power User-menyn (Win + X).

När du har startat Event Viewer, navigerar du till Windows-loggar och sedan till fliken Säkerhet.

Här hittar du alla säkerhetsrelaterade händelser som hände i ditt Windows-system. Om du dubbelklickar på sökordet "Auditsucces" kommer du att få reda på detaljerna som användaren som har loggats in eller loggats ut, tidsstämpel etc. Som ett tips kan du filtrera ner händelseloggen med "Event ID "Eller" Aktivitetskategori. "Som du kan se från bilden nedan följer även Logon Auditing några misslyckade inloggningsförsök.

Det är allt som finns att göra, och det är så enkelt att spåra användarinloggningar i ditt Windows-system.

Förhoppningsvis hjälper det och gör kommentera nedan om du möter några problem samtidigt som funktionen Logon Auditing i Windows kan aktiveras.