açma kayıtlarının incelenmesi gerekecektir. Yada Laptopunuzu evde bıraktığınız bir gün bir sosyal medya hesabınız çalınmış olsun aynı evde kaldığınız oda arkadaşınız bilgisayarı ellemediğini söylüyor , acaba doğrumu söylüyor ? bu ve benzeri tüm durumlarda için Windowsa hangi kullanıcının ne zaman giriş yaptığı bilgisinin görüntülenmesi önemlidir, aşağıdaki yazımızda bu iş için kullanılabilecek birkaç farklı yöntem verilecektir.

Olay Görüntüleyicisi ile Kullanıcı Oturum Açma listesini bulun

Varsayılan olarak Oturum açma denetim ilkeleri etkin olduğundan her oturum açma işlemi kayıt altına alınacaktır. Günlükleri görmek için sizde de Oturum açma denetim ilkeleri etkin olmalıdır.

1. Olay görüntüleyiciyi açmak için çalıştırdan aşağıdaki komutu verin.

eventvwr.msc

2. Windows günlükleri kısmını aşağıya doğru genişletip Güvenlik kısmına sağ tıklayıp , geçerli günlüğe filtre uygula deyin.

3. Ardından arama boşluğuna 4624 rakamını yazın ve Tamam butonuna tıklayın.

Böylece kullanıcı ve sistem hizmeti oturum açma olayları listesi görüntülenecektir.

Etkinlik kimlikleri kodlarının anlamları

Oturum açma Tür kodu anlamları

RDP kullanarak uzak bilgisayarların masaüstüne bağlandığınızda, Oturum Açma Türü 10 veya 3 olan girişler olay günlüğünde görünür hale gelecektir. Üstteki tabloya göre, bir yerel kullanıcının oturum açma olayı, Oturum Açma Türü: 2'yi içermelidir. Otomatik Windows oturum açmayı kullanıyorsanız, 2 rakamı oturum açma türü kısmında yine görünecektir.

PowerShell ile Kullanıcı Oturum Açma Olaylarını görüntüleyin

Eğer bilgisayarda son zamanlarda hangi kullanıcıların oturum açtığını bulmak istiyorsanız bunu Powershell ile gerçekleştirebilirsiniz.Bunun için yapmanız gereken tek şey sayfa sonundaki "Logon_Events.exe" dosyasını çift tıklayıp çalıştırmaktır , dosya yönetici yetkisi istemektedir. ardından karşınıza Windowsa hangi kullanıcıların nezaman giriş yaptıklarını gösteren ayrıntılı bir tablo gelecektir.

Dilerseniz "Source_code" klasöründe yeralan , Logon_Events.exe dosyasının kaynak kodlarına gözatabilirsiniz, kodlar uzantısı Ps1 olan Bir Powershell scriptidir. Son birkaç güne ait oturum açma olaylarını seçmek istiyorsanız, kaynak kodundaki uygun yere aşağıdaki koşula sahip bir sorgu ekleyebilirsiniz

|Where-Object {$_.TimeStamp -gt '20/06/23'}

Uzak bilgisayarlardan bilgi almak için Get-WinEvent cmdlet'ini kullanabilirsiniz. Örneğin, iki uzak bilgisayardan kullanıcı oturum açma geçmişini almak için şu betiği çalıştırın.

'mun-rds1', 'mun-rds2' |
ForEach-Object {
Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
}

RPC protokolüne izin verilmiyorsa uzak bilgisayarlardan veri almak için Invoke-Command PowerShell cmdlet'ini kullanabilirsiniz.

Invoke-Command -ComputerName 'mun-rds1', 'mun-rds2' {Get-WinEvent -FilterXml $query | Select-Object $properties}

Hangi kullanıcı nezaman oturum açmış bilgisini veren exe dosyasını aşağıdan edinebilrsiniz.

- Windowsta Oturumu kapat seçeneği nasıl kaldırılır Burada

- Oturum açtığınızda Program otomatik başlasın Burada

- Güvenli Oturum açma nasıl etkinleştirilir veya iptal edilir Burada