Saltar al contenido

Visor de eventos eventid para bloqueo y desbloqueo

Si encuentras algo que no entiendes nos puedes dejar un comentario y trataremos de ayudarte lo mas rápido que podamos.

Solución:

El ID de evento de bloqueo es 4800 y el de desbloqueo es 4801. Puede encontrarlos en los registros de seguridad. Probablemente tengas que activar su auditoría usando política de seguridad local (secpol.msc, Configuración de seguridad local en Windows XP) -> Políticas locales -> Política de auditoría. Para Windows 10, vea la imagen a continuación.

Pase a ver Descripción de eventos de seguridad en Windows 7 y en Windows Server 2008 R2 por debajo Subcategoría: Otros eventos de inicio/cierre de sesión.

Otros eventos de inicio/cierre de sesión en Windows 10

Deberá habilitar el registro de estos eventos. Hazlo abriendo el editor de políticas de grupo:

ejecutar -> gpedit.msc

y configurando la siguiente categoría:

Configuracion de Computadora ->
Configuración de Windows ->
Configuraciones de seguridad ->
Configuración avanzada de políticas de auditoría ->
Políticas de auditoría del sistema: objeto de política de grupo local ->
Iniciar/Cerrar sesión ->
Auditar otros eventos de inicio/cierre de sesión

(En el Explique pestaña dice “… le permite auditar… Bloquear y desbloquear una estación de trabajo”).

Para las versiones más recientes de Windows (incluidos, entre otros, Windows 10 y Windows Server 2016), los ID de eventos son:

  • 4800: la estación de trabajo estaba bloqueada.
  • 4801: la estación de trabajo se desbloqueó.

El bloqueo y desbloqueo de una estación de trabajo también implica los siguientes eventos de inicio y cierre de sesión:

  • 4624 – Se inició sesión correctamente en una cuenta.
  • 4634 – Se cerró una cuenta.
  • 4648: se intentó iniciar sesión con credenciales explícitas.

Al usar una sesión de Terminal Services, el bloqueo y desbloqueo también puede implicar los siguientes eventos si la sesión se desconecta, y el evento 4778 puede reemplazar al evento 4801:

  • 4779 – Se desconectó una sesión de una estación de ventana.
  • 4778 – Se volvió a conectar una sesión a una estación de ventana.

Los eventos 4800 y 4801 no se auditan de forma predeterminada y deben habilitarse mediante el Editor de políticas de grupo local (gpedit.msc) o Política de seguridad local (secpol.msc).

La ruta para la política que usa el Editor de políticas de grupo local es:

  • Política informática local
  • Configuracion de Computadora
  • Configuración de Windows
  • Configuraciones de seguridad
  • Configuración avanzada de políticas de auditoría
  • Políticas de auditoría del sistema: objeto de política de grupo local
  • Iniciar/Cerrar sesión
  • Auditar otros eventos de inicio/cierre de sesión

La ruta para la política que usa la Política de seguridad local es el siguiente subconjunto de la ruta para el Editor de políticas de grupo local:

  • Configuraciones de seguridad
  • Configuración avanzada de políticas de auditoría
  • Políticas de auditoría del sistema: objeto de política de grupo local
  • Iniciar/Cerrar sesión
  • Auditar otros eventos de inicio/cierre de sesión

Te mostramos las comentarios y valoraciones de los usuarios

Si para ti ha sido provechoso este artículo, sería de mucha ayuda si lo compartes con más entusiastas de la programación de esta forma nos ayudas a difundir este contenido.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Tags : / /

Utiliza Nuestro Buscador

Preguntas Relacionadas:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *