Il existe des centaines de tâches administratives et de support que nous pouvons effectuer dans Windows 10 et l'une d'entre elles consiste à analyser en détail chaque déconnexion d'utilisateur. Le système d'exploitation Windows 10 est capable de suivre l'ensemble du processus de déconnexion et à partir de là d'écrire une série d'événements dans le journal système auxquels nous pouvons accéder ultérieurement pour obtenir toutes les informations nécessaires à des fins administratives ou d'audit. .
Pour accéder à ce type d'informations, il ne sera pas nécessaire d'utiliser des outils ou des logiciels tiers puisque Windows 10 intègre un utilitaire appelé Observateur d'événements où tous les événements système sont hébergés par catégorie (Système, Sécurité, etc.) et à partir de là, nous avons la possibilité de contrôler de manière centralisée chaque événement qui se produit dans le système et ses applications.
Microsoft a développé une série d'événements pour chaque action effectuée dans Windows 10, en cas de déconnexion, l'ID est le suivant :
ID d'événement 4647Déconnexion initiée par l'utilisateur. Cet événement est généré lorsqu'une déconnexion démarre. Aucune autre activité initiée par l'utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de déconnexion manuellement ou automatiquement.
Maintenant, Solvetic va expliquer comment nous pouvons voir cet ID via l'observateur d'événements et à partir de là avoir de meilleures options d'analyse.
Afficher l'historique de déconnexion avec l'événement de déconnexion dans Windows 10
Voyons d'abord comment entrer dans le Viewer pour pouvoir filtrer les événements.
Étape 1
Pour accéder à cet observateur d'événements, nous avons les options suivantes :
- Faites un clic droit sur le menu Démarrer, ou utilisez les touches suivantes, et dans la liste affichée, sélectionnez "Observateur d'événements".
+ X
- Utilisez la combinaison de touches suivante et exécutez la commande " eventvwr.msc " et appuyez sur Entrée ou OK.
+ R
- Dans la zone de recherche de Windows 10, entrez le terme "événements" et sélectionnez-y la visionneuse
Étape 2
Une fois que nous accédons à l'Observateur d'événements, nous irons dans la section "Journaux Windows" et là nous sélectionnerons la catégorie "Sécurité" où nous verrons ce qui suit.
AGRANDIR
Étape 3
Nous devons maintenant filtrer l'enregistrement en utilisant l'une des options suivantes :
- Cliquez sur la ligne "Filtrer l'enregistrement actuel" située sur le côté droit.
- Allez dans le menu "Action" et sélectionnez-y "Filtrer l'enregistrement actuel".
- Faites un clic droit sur "Sécurité" et sélectionnez "Filtrer l'enregistrement actuel".
Étape 4
Lors de l'utilisation de l'une de ces options, la fenêtre suivante s'affichera où nous devons définir l'ID d'événement 4647 dans le champ « Tous les ID » :
Étape 5
Il existe des options supplémentaires telles que la recherche de cet identifiant sur différents ordinateurs du réseau ou pour plusieurs utilisateurs, dans ce cas, cela se fera localement afin que nous laissions l'option par défaut. Lors de la saisie de l'ID 4647, nous cliquons sur le bouton "Accepter" pour appliquer le filtre et nous pourrons voir uniquement les événements liés à cet ID de déconnexion de session :
AGRANDIR
Étape 6
Nous pouvons double-cliquer sur l'un des événements affichés pour obtenir des informations détaillées telles que. Cet ID 4647 est généré lorsque le processus de déconnexion a été lancé avec un compte spécifique à l'aide de la fonction de déconnexion.
- Ordinateur, utilisateur et domaine où la déconnexion a été exécutée
- Type de registre
- Date et heure de clôture de la session
- Équipement dans lequel le processus a été effectué et plus encore.
Nous pouvons voir à quel point Windows 10 nous donne la possibilité d'analyser en détail les connexions dans le système.
