In Windows 10 können Hunderte von Administrations- und Supportaufgaben ausgeführt werden. Eine dieser Aufgaben besteht darin, jede Sitzung , die vom Benutzer geschlossen wird, detailliert zu analysieren. Das Windows 10-Betriebssystem kann den gesamten Prozess des Sitzungsabschlusses nachverfolgen und von dort aus eine Reihe von Ereignissen in die Systemregistrierung schreiben, auf die wir später zugreifen können, um alle für Verwaltungs- oder Prüfungszwecke erforderlichen Informationen abzurufen. .
Der Zugriff auf diese Art von Informationen ist nicht erforderlich, um Tools oder Software von Drittanbietern zu verwenden, da Windows 10 ein Dienstprogramm namens Ereignisanzeige integriert, in dem alle Systemereignisse nach Kategorie (System, Sicherheit usw.) und von dort aus gehostet werden die Möglichkeit, jedes Ereignis, das im System und seinen Anwendungen auftritt, zentral zu steuern .
Microsoft hat für jede Aktion, die in Windows 10 ausgeführt wird, eine Reihe von Ereignissen entwickelt. Für den Fall, dass die Sitzung geschlossen wird, lautet die ID wie folgt:
Jetzt wird TechnoWikis erklären, wie wir diese ID über die Ereignisanzeige sehen und von dort aus bessere Analyseoptionen haben.
Verlauf anzeigen Mit Abmeldeereignis in Windows 10 abmelden
Schauen wir uns zunächst an, wie Sie den Viewer aufrufen, um Ereignisse zu filtern.
Um auf diese Ereignisanzeige zuzugreifen, haben wir folgende Möglichkeiten:
- Klicken Sie mit der rechten Maustaste auf das Startmenü, oder verwenden Sie die folgenden Tasten, und wählen Sie in der angezeigten Liste “Ereignisanzeige” aus.
+ X
- Verwenden Sie die folgende Tastenkombination, führen Sie den Befehl “eventvwr.msc” aus und drücken Sie die Eingabetaste oder OK.
+ R
- Geben Sie im Suchfeld von Windows 10 den Begriff “Ereignisse” ein und wählen Sie dort den Viewer aus
Sobald wir auf die Ereignisanzeige zugreifen, gehen wir zum Abschnitt “Windows-Register” und wählen dort die Kategorie “Sicherheit” aus, in der wir Folgendes sehen werden. 
Jetzt müssen wir den Datensatz mit einer der folgenden Optionen filtern:
- Klicken Sie auf die Zeile “Aktuellen Datensatz filtern” auf der rechten Seite.
- Gehen Sie in das Menü “Aktion” und wählen Sie dort “Aktuellen Datensatz filtern”.
- Klicken Sie mit der rechten Maustaste auf “Sicherheit” und wählen Sie “Aktuellen Datensatz filtern”.
Wenn Sie eine dieser Optionen verwenden, wird das folgende Fenster angezeigt, in dem Sie die Ereignis-ID 4647 im Feld “All ID” definieren müssen:
Es gibt zusätzliche Optionen wie die Suche nach dieser ID in verschiedenen Netzwerkgeräten oder für mehrere Benutzer. In diesem Fall erfolgt die Suche lokal. Daher lassen wir die Option standardmäßig. Wenn Sie die ID 4647 eingeben, klicken Sie auf die Schaltfläche “Akzeptieren”, um den Filter anzuwenden. Es werden nur die Ereignisse angezeigt, die mit dieser Abmelde-ID zusammenhängen: 
Wir können auf jedes der angezeigten Ereignisse doppelklicken, um detaillierte Informationen zu erhalten, z. Diese ID 4647 wird generiert, wenn der Sitzungsschließungsprozess mit einem bestimmten Konto unter Verwendung der Sitzungsschließungsfunktion eingeleitet wurde.
- Team, Benutzer und Domäne, in der die Sitzung ausgeführt wurde
- Art der Aufzeichnung
- Datum und Uhrzeit des Sitzungsschlusses
- Team, in dem der Prozess durchgeführt wurde und mehr.
Wir können sehen, wie einfach Windows 10 es uns ermöglicht, die Abmeldungen im System detailliert zu analysieren.