Ведет ли Windows XP журнал событий входа в систему и блокировки экрана? Если да, то как я могу его просмотреть?
События входа в систему находятся в средстве просмотра событий в разделе «Безопасность». Я не думаю, что блокировка рабочего стола проверяется.
Проявляется ли аудит этих событий - другой вопрос. Я не помню значений по умолчанию. Чтобы убедиться, что это так, перейдите в Панель управления, Инструменты администрирования и запустите Параметры локальной политики. Там, под политиками аудита, перечислены два разных события входа в систему. Обеспечьте успех и неудачу для обоих.
Затем в Диспетчере компьютеров щелкните правой кнопкой мыши журнал событий безопасности, увеличьте его размер до 8 МБ и установите параметр «Перезаписать» по мере необходимости (если вы действительно НЕ ДОЛЖНЫ ЗНАТЬ, затем выберите «Не перезаписывать»). 8 МБ должны дать вам достаточно накладных расходов, чтобы убедиться, что события присутствуют, когда вы смотрите.
(ВНИМАНИЕ: не включайте успешный «доступ к объекту аудита». Это приведет к возникновению события для каждого доступа к файлу и ключу реестра и, скорее всего, приведет к сканированию.)
\\ Грег
В этом вопросе могут быть еще несколько советов и подсказок:
Как узнать, в какое время пользователь домена вошел в систему?