Existen cientos de tareas a nivel administrativo y de soporte que podemos llevar a cabo en Windows 10 y una de estas es analizar en detalle cada cierre de sesión por parte del usuario. El sistema operativo Windows 10 está en la capacidad de rastrear todo el proceso de cierre de sesión y a partir de allí escribir una serie de eventos en el registro del sistema al cual podemos acceder más adelante para obtener toda la información necesaria con fines administrativos o de auditoria.
Para acceder a este tipo de información no será necesario el uso de herramientas o software de terceros ya que Windows 10 integra una utilidad llamada Visor de eventos donde se alojan todos los eventos del sistema por categoría (Sistema, Seguridad, etc) y desde allí tenemos la oportunidad de controlar de forma centralizada cada suceso que ocurre en el sistema y sus aplicaciones.
Microsoft ha desarrollado una serie de eventos para cada acción que se lleva a cabo dentro de Windows 10, para el caso del cierre de sesión el ID es el siguiente:
Ahora Solvetic va a explicar cómo podemos ver este ID a través del visor de eventos y a partir de allí disponer de mejores opciones de análisis.
Ver historial Cerrar sesión con evento de cierre de sesión en Windows 10
Veamos en primer lugar como entrar en el Visor para poder hacer un filtrado de eventos.
Para acceder a este visor de eventos contamos con las siguientes opciones:
- Dar clic derecho en el menú Inicio, o usar las teclas siguientes, y en la lista desplegada seleccionar “Visor de eventos”.
+ X
- Usar la combinación de teclas siguientesy ejecutar el comando “eventvwr.msc” y pulsar Enter o Aceptar.
+ R
- Desde el cuadro de búsqueda de Windows 10 ingresar el termino “eventos” y allí seleccionar el visor
Una vez accedamos al Visor de eventos, iremos a la sección “Registros de Windows” y allí seleccionamos la categoría “Seguridad” donde veremos lo siguiente.
Ahora debemos filtrar el registro usando alguna de las siguientes opciones:
- Dar clic sobre la línea “Filtrar registro actual” ubicada en el costado lateral derecho.
- Ir al menú “Acción” y allí seleccionar “Filtrar registro actual”.
- Dar clic derecho sobre “Seguridad” y seleccionar “Filtrar registro actual”.
Al usar alguna de estas opciones se desplegará la siguiente ventana donde debemos definir el ID de evento 4647 en el campo “Todos los ID”:
Existen opciones adicionales como la búsqueda de este ID en diversos equipos en red o para múltiples usuarios, en este caso se hará de forma local de modo que dejamos la opción por defecto. Al ingresar el ID 4647 pulsamos en el botón “Aceptar” para aplicar el filtro y podremos ver solo los eventos relacionados con este ID de cierre de sesión:
Podemos dar doble clic sobre alguno de los eventos desplegados para obtener información detallada como. Este ID 4647 es generado cuando el proceso de cierre de sesión ha sido iniciado con una cuenta específica usando la función de cierre de sesión.
- Equipo, usuario y dominio donde se ejecutó el cierre de sesión
- Tipo de registro
- Fecha y hora del cierre de sesión
- Equipo en el cual se llevó a cabo el proceso y más.
Podemos ver lo simple que Windows 10 nos da la opción para analizar en detalle los cierres de sesión en el sistema.
