C++ Windows获取审核登录失败事件
一、手动操作系统查看登录失败系统日志
1. 配置开启登录事件监控本地策略
- 服务器系统版本不用配置,默认已经开启
- win+R 运行 gpedit.msc
- 计算机配置->Windows设置->安全设置->本地策略->审核策略->审核登录事件->勾选"失败"
客户端版本上的默认值:
登录: 成功
注销: 成功
帐户锁定: 成功
IPsec 主模式: 无审核
IPsec 快速模式: 无审核
IPsec 扩展模式: 无审核
特殊登录: 成功
其他登录/注销事件: 无审核
网络策略服务器: 成功,失败
服务器版本上的默认值:
登录: 成功,失败
注销: 成功
帐户锁定: 成功
IPsec 主模式: 无审核
IPsec 快速模式: 无审核
IPsec 扩展模式: 无审核
特殊登录: 成功
其他登录/注销事件: 无审核
网络策略服务器: 成功,失败
2. 查看登录事件日志
- win+r 运行 eventvwr
- windows日志->安全
- 日志解析参考:登录失败事件详细分析
二、C++ 查看日志
1. 设置本地组策略
- secedit.exe /export 导出组策略
- 修改导出的文件(ini),设置开启审计登录失败日志
- secedit.exe /configure 导入组策略