windows server 查看登录日志
1、 先要开启登录审核,在查看登录日志
点击 “服务器管理器” – > “工具” – > “本地安全策略”
点击 “本地策略” – > “点击审核策略”
审核 成功 和 失败的记录(可以全选也可以选择需要审计的操作)
2、查看日志
点击 “工具” – > “事件查看器”
点击 “windows 日志” – > “安全”
3、 事件ID 含义
4624 --登录成功
4625 --登录失败
4634 – 注销成功
4647 – 用户启动的注销
4672 – 使用超级用户(如管理员)进行登录
参考:
http://www.cflab.net/News/1522379153901
https://blog.csdn.net/C_chuxin/article/details/84974207