Har du nogensinde spekuleret på, om du kan spore brugerlogonaktiviteter i Windows, så du kan registrere, hvem der er logget ind, og når de logger ind? Dette er helt muligt i Windows-systemet ved hjælp af Logon Auditing-funktionen. Sporing af bruger login og log-out aktiviteter er meget nyttigt i server- eller organisationsmiljøer, hvor data er fortrolige og i situationer, hvor du bare vil vide "hvem gjorde det" i dit Windows-system. Som standard er funktionen Logon Auditing deaktiveret i Windows. I denne artikel skal vi se, hvordan du aktiverer Logon Auditing og hvordan du kan se disse sporingsbegivenheder på et Windows-system.

Bemærk: Logon Revision er kun tilgængelig i Pro, Ultimate og Enterprise versioner af Windows 8.

Hvad er Logon Auditing

Logon Auditing er en indbygget Windows Group Policy Setting, som gør det muligt for en Windows-administrator at logge og revidere hver forekomst af bruger login og logge af aktiviteter på en lokal computer eller over et netværk. Sammen med log ind og log ud hændelse tackling, denne funktion er også i stand til at spore eventuelle mislykkede forsøg på at logge ind. Dette er især nyttigt til at bestemme og analysere eventuelle angreb på din Windows-maskine.

Aktivér Logon Auditing

For at aktivere Logon Auditing skal vi konfigurere indstillinger for Windows Group Policy. Tryk på "Win + R", skriv gpedit.msc og tryk på Enter-knappen for at åbne Windows Group Policy Editor.

Når du er i Gruppepolicy Editor, skal du navigere til "Computer Configuration -> Windows Indstillinger -> Sikkerhedsindstillinger -> Lokale Politikker" og derefter vælge "Revisionspolitik" i venstre rude.

Ovennævnte handling viser dig nogle politikker i højre rude. Her dobbeltklikker du på "Audit Logon Events" -politikken for at åbne den. Du må ikke forveksle "Audit logon events" med "Logon hændelser til auditkonto", da det er en indstilling til et helt andet formål.

Når vinduet er åbent, skal du markere både afkrydsningsfelterne "Succes" og "Fejl". Klik nu på knapperne "Anvend" og "Ok" for at gemme ændringerne.

Det er alt, hvad der skal gøres. Fra dette tidspunkt fremover vil hver log ind, logge af og mislykkede loginsøgninger blive logget i Event Viewer som begivenheder.

Se Logon Audit Events

Du kan se alle log ind, logge af og fejle log-in forsøgs begivenheder i Windows Event Viewer. Du kan starte Event Viewer ved at søge i startmenuen. Hvis du bruger Windows 8, kan du starte det samme ved hjælp af menuen Power User (Win + X).

Når du har startet Event Viewer, skal du navigere til Windows Logs og derefter til fanen Sikkerhed.

Her finder du alle de sikkerhedsrelaterede hændelser, der skete i dit Windows-system. Hvis du dobbeltklikker på søgeordet "Auditsucces", vil du finde ud af detaljerne som den bruger, der er logget ind eller logget ud, tidsstempel osv. Som et tip kan du filtrere ned begivenhedslogfilerne ved hjælp af "Event ID "Eller" Opgavekategori. "Som du kan se fra nedenstående billede, registrerer Logon Auditing også eventuelle mislykkede loginforsøg.

Det er alt, hvad der skal gøres, og det er så nemt at spore brugerlogins i dit Windows-system.

Forhåbentlig hjælper det og kommenterer nedenfor, hvis du står over for eventuelle problemer, mens du aktiverer funktionen Logon Auditing i Windows.