Позвольте мне в начале сказать, что я очень забывчивый.
Я хотел бы иметь журнал, когда я вхожу в систему, выхожу из системы, блокирую и разблокирую свою рабочую станцию.
(в моем случае, чтобы я мог отслеживать количество часов, которые я провожу за компьютером)
EventViewer почти достаточно хорош. В представлении «Безопасность» отображаются события входа и выхода. Мне просто нужно знать события блокировки / разблокировки.
или метод вызова сценария для этих событий, чтобы я мог сам вести журнал.
Вы знаете, есть небольшое дешевое устройство Bluetooth, которое может вам помочь.
Вы подключаете его к USB-порту и держите «ключ» в кармане.
Когда вы отходите от компьютера (скажем, на 6 футов или около того), компьютер автоматически блокируется. Когда вы вернетесь в зону досягаемости, он автоматически разблокируется.
ОБНОВИТЬ:
Я наконец нашел ту, что у меня есть. Это беспроводная блокировка экрана PC Defender. Не уверен, что они продают их больше, но я видел много их в таких местах, как Fry's Electronics и т. Д. Вот ссылка, чтобы показать вам, как они выглядят:
http://www.dansdata.com/pclock.htm
На этой ноте ... есть также программы, такие как Синий Замок 1.92 и другие, которые могут подключаться к Bluetooth на вашем телефоне и выполнять определенные действия (обычно блокировать экран), когда вы уходите от компьютера (берете телефон с собой).
Другое решение - использовать веб-камеру для периодического создания снимков экрана, скажем, каждые 5 минут. Затем просто посчитайте кадры, на которых изображено ваше лицо. У Microsoft есть Power Toy, которая делает это. Также работает как камера слежения. ;-)
К сожалению, нет события "блокировки" рабочей станции - разблокировка (при включенных правильных настройках аудита может вызвать пару событий 528/538 с типом '7'.
Лучше всего взглянуть на различные инструменты, которые могут отслеживать использование машины для выставления счетов. Обычно они могут предоставить вам список того, какое приложение было в центре внимания в течение какого периода времени.
Мы используем Спектор 360 сделать это в масштабе всей сети.
Для всех, кто любит знать, как это сделать в Windows 7 (как я): Открыть Политика локальной безопасности (можно найти, нажав один раз клавишу Windows и набрав «Local Security Policy») => Advanced Audit Policy Configuration => ... => Logon / Logoff => Аудит других событий входа / выхода => дважды щелкните и отметьте все флажки => сохранить
Скриншот: Аудит других событий входа / выхода
Теперь вы получаете события в средстве просмотра событий в разделе Журналы Windows => Безопасность (идентификаторы событий 4800 и 4801).
Существует «тип входа» для «Разблокировать рабочую станцию» (тип 7), который регистрируется в журнале событий. Я не уверен, что это даст вам то, чего вы хотите.
Самый простой способ сделать то, что вы хотите, - запустить пользовательскую программу, с которой вы взаимодействуете, чтобы вести учет времени.
Вы могли бы разработать Джина библиотека, которая регистрирует ваши собственные события, когда происходит блокировка рабочей станции или разблокировка рабочей станции, поскольку оба этих события имеют обратные вызовы в GINA. (В Vista GINA был заменен на Провайдеры учетных данных и мне не сразу понятно, получат ли они обратный вызов при возникновении блокировки рабочей станции или нет.)
У нас есть сценарий входа и выхода, который запускается через групповую политику, которая записывается в файл каждый раз, когда кто-то входит в систему или выходит из нее - это может помочь? Файл входа в систему содержит следующее (сначала настройте общий ресурс \ server01 \ audit $!)
@echo %username%,%date%,%time%,%computername%,%clientname% >>\\server01\audit$\%username%login.txt
я нашел частичный ответ ..
локальные настройки безопасности Auditpolicy ..
я включил "Аудит событий входа в учетную запись"
Я знаю, что получаю события входа / выхода, когда я блокирую компьютер.
однако событие выхода из системы (т. е. блокировки) имеет ту же метку времени, что и вход в систему (разблокировка).
приближается ..
Обновить:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=538
Иногда Windows просто не регистрирует событие 538.
Комментарии Microsoft: Это событие не обязательно указывает время, когда пользователь прекратил использовать систему. Например, если компьютер выключен или теряет сетевое соединение, он может вообще не записывать событие выхода из системы ».
Если вы аутентифицируетесь на контроллере домена, вы можете проверить успешные аудиты в файле журнала безопасности. Каждый раз, когда вы успешно входите в систему, это будет записываться (также будут записываться неудачные попытки входа в систему).
Есть несколько способов получить их, в зависимости от вашего уровня программирования.
Если вы хотите выбрать какой-либо из этих маршрутов, вы можете найти следующие полезные