Аудит входу в систему відстежує як локальні, так і мережеві входи в комп'ютер. При кожному вході фіксується ім'я увійшло користувача та час його входу. Ви також можете проглянути, коли ці користувачі вийшли з системи.
Спочатку відкрийте редактор локальної групової політики. Для цього натисніть клавішу Пуск, у полі пошуку введіть gpedit.msc і натисніть Enter.
В редакторі політики перейдіть в папку: Політика "Локальний комп'ютер" -> Конфігурація комп'ютера -> Конфігурація Windows –> Параметри безпеки –> Локальні політики –> Політика аудиту.
Тепер в правій панелі подвійним кліком увійдіть в налаштування аудиту входу в систему. У вікні налаштувань увімкніть опцію «Успіх» для відображення випадків успішного доступу. Ви також можете включити опцію «Відмова» для випадків невдалих спроб входу в систему.
Після включення аудиту входу в систему Windows буде записувати всі події входу – включаючи ім'я користувача і час – в системний журнал.
Для перегляду цих подій, відкрийте «Перегляд подій». Для цього у вікні пошуку введіть «Перегляд подій» і натисніть Enter.
Пройдіть Журнали Windows -> Безпека.
Шукайте події з кодом 4624 – це події з успішним входом в систему. Для перегляду більш детальної інформації, на зразок імені входив користувача, ви можете двічі клацнути по події і прокрутити текст вниз.
У випадках надмірного захаращення журналу безпеки, ви можете клацнути по пункту "Фільтр поточного журналу..." в бічній панелі праворуч, і відфільтрувати події за кодом 4624. В результаті ви побачите тільки події успішного входу в систему.
От і все! Удачі вам!