路由网使用事件查看器筛选事件ID 4624可查看成功登录记录,包括用户名、时间、类型及IP;2. 通过计算机管理的本地用户和组查看各账户上次登录时间;3. 利用PowerShell命令Get-WinEvent提取并格式化安全日志中的登录信息。
如果您需要了解某台Windows 10电脑的用户登录情况,例如确认是否存在未经授权的访问或追踪特定用户的活动时间,可以通过系统内置的日志功能进行查询。以下是几种有效的查看方法:
本文运行环境:Dell XPS 13,Windows 10。
一、使用事件查看器查看详细登录日志
事件查看器是Windows系统的核心诊断工具,能够记录包括用户登录、注销在内的各种安全事件。通过筛选特定的事件ID,可以精准定位到每一次登录行为。
1、按下 Win + R 组合键打开“运行”对话框。
2、在输入框中键入 eventvwr.msc,然后按回车键启动事件查看器。
3、在左侧导航栏中,依次展开 Windows 日志 节点,并点击其下的 安全 选项。
4、在中央的事件列表中,右键单击任意一条记录,选择 筛选当前日志。
5、在“事件ID”输入框中填入 4624,此ID代表成功的用户登录事件,点击“确定”按钮应用筛选。
6、筛选完成后,列表将仅显示成功登录的记录。双击任意一条记录,在弹出的窗口中可查看详细的登录信息,包括用户名、登录时间、登录类型(如交互式登录、网络登录等)以及来源IP地址(如果适用)。
二、通过计算机管理查看最后一次登录时间
此方法提供了一种更快速但信息量较少的途径,用于查看每个用户账户最近一次登录系统的具体时间,适用于需要快速核对的情况。
1、在桌面上或开始菜单中找到 此电脑 图标,使用鼠标右键单击它。
2、从弹出的上下文菜单中选择 管理 选项,以打开计算机管理窗口。
3、在左侧的树形目录中,依次展开 系统工具 > 本地用户和组 > 用户。
4、在右侧的用户列表中,找到您想要查询的账户名称,使用鼠标双击该账户以打开其属性窗口。
5、在属性窗口的“常规”选项卡下,查找并记录 上次登录时间 字段所显示的具体日期和时间。
三、利用PowerShell命令获取登录记录
对于习惯使用命令行的用户,PowerShell提供了强大的脚本能力来提取系统日志信息。此方法可以灵活地导出或格式化登录数据。
1、在开始菜单的搜索框中输入 PowerShell。
2、在搜索结果中找到“Windows PowerShell”,右键单击并选择“以管理员身份运行”以确保有足够的权限读取安全日志。
3、在打开的PowerShell窗口中,输入以下命令并按回车执行:Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624} | Select-Object TimeCreated, @{n=’User’;e={$_.Properties[5].Value}}, @{n=’LogonType’;e={$_.Properties[8].Value}}
4、该命令将检索安全日志中所有事件ID为4624的条目,并输出登录时间、用户名和登录类型三列信息,便于快速分析。
