윈도우 로그인 기록을 확인하는 방법

내 컴퓨터에 다른 누군가가 로그인을 하거나, 로그인을 시도를 했다면 어떻게 확인을 하는게 좋을까요? 이번 포스팅에서는 윈도우 로그인 기록을 확인하는 방법과 어떻게 성공한 로그인과 실패한 로그인을 찾을수 있는지 알아 보도록 하겠습니다. 기본적으로 윈도우에서는 로그인 기록을 바로 확인이 안되는데요. 그래서 로그인 기록을 보기 위해서는 정책을 변경을 해서 로그인 기록까지 볼수 있도록 설정을 해야 합니다. 

로그인 기록 정책 변경하기

일단, 로그인 기록을 보기 위해서는 아래와 같이 윈도우키 + R 을 눌러서 실행을 여신후에 "gpedit.msc" 를 입력을 하셔서 로컬 그룹 정책 편집기를 열어 주셔야 합니다. 혹은 시작메뉴에서 "로컬 보안 정책" 으로 검색을 하셔서 로컬보안정책을 열어 놓으셔도 됩니다. 

그리고 보시는 것처럼 [컴퓨터 구성]-[Windows 설정]-[보안 설정]-[로컬 정책]-[감사 정책] 순으로 들어 가시면 됩니다. 들어 가시면 "계정 로그온 이벤트 감사" 라고 되어 있는 부분이 보이는데요. 기본 설정은 "감사 안 함" 으로 되어 있습니다. 더블 클릭을 하셔서 아래처럼 속성 창을 열어 보세요. 그리고 아래 보시면 "다음 시도 감사" 에 성공과 실패 2가지가 나옵니다. 모두 체크를 해주신후에 적용을 눌러 주시면 됩니다. 

윈도우에서 로그인 이벤트 확인하기

이제 설정은 모두 완료 하였으니 이벤트를 확인을 하시면 됩니다. 이벤트 확인하는 방법은 아래처럼 시작 메뉴를 클릭을 하신후에 "이벤트 뷰어"로 검색을 하시면 찾을수 있습니다. 이벤트 뷰어를 클릭 해서 실행을 해보세요. 

여기에는 다양한 이벤트들을 확인을 할수가 있는데요. 그중에서 로그인 이벤트는 "Windows 로그" 에 있는 보안에서 확인을 할수가 있습니다. 보안 이벤트도 다양하게 발생을 하고 있기 때문에 딱 로그인 이벤트만 확인을 하고자 하신다면 아래 보시는것처럼 오른쪽에 있는 "현재 로그 필터링" 을 이용해서 필터링 해서 보시면 편하게 볼수가 있습니다. 

필터링을 할 이벤트ID는 2가지 입니다. 4624, 4625 이렇게 2가지 이구요. 각각 로그인 성공/실패를 의미를 합니다. 아래처럼 필터 항목에 이벤트 ID 를 2개 적어 준후에 확인을 눌러 주시면 됩니다. 

그럼 이제 로그인 관련된 이벤트만 보이게 되고, 여기에서 실패와 성공을 구분해서 확인을 할수가 있습니다. 그리고 더블 클릭을 하시면 조금더 자세한 내용을 볼수가 있습니다. 

여기에서 항목중에는 로그온 유형 이라고 있는데요. 이 유형 번호가 뭔지에 따라서 어떤식으로 로그인을 시도 했는지 확인이 가능합니다. 

아래 표를 보시면 각각 번호가 어떤 의미인지 확인을 할수가 있습니다. 참고 하셔서 보시면 좋을거 같아요. 일반적으로 2번 혹은 5번 정도가 보일거고, 3번이나, 10번등은 외부에서 로그인을 시도했다고 봐야 할거 같네요. 

Logon Type	설명
Logon Type 2	로컬 사용자
Logon Type 3	Network 를 통해서 로그인한 사용자
Logon Type 4	사용자 개입없는 자동 로그인 (예로, 작업스케쥴 같은것들)
Logon Type 5	시스템 관리자에 의한 로그인으로 가장 일반적인 로그인
Logon Type 7	로컬 사용자가 시스템을 잠금
Logon Type 8	암호가 일반 텍스트로 네트워크에 전송된 로그인
Logon Type 9	새로운 자격증병 방식 – 사용자가 /netonly 옵션과 함께 RunAs 를 통해 프로그램을 시작한 경우
Logon Type 10	원격데스크톱을 이용한 방식
Logon Type 11	도메인 컨트롤을 이용한 콘솔 로그인 방식

이상으로 이번 포스팅에서는 윈도우에서 누군가 내 컴퓨터에 로그인을 했는지 확인할수 있는 방법에 대해서 알아 보았습니다. 내 컴퓨터가 항상 네트워크에 연결이 되어 있고 누군가 사용한거 같은 느낌이 든다면 이 방법으로 확인을 해볼수가 있습니다. 물론 100% 완벽하지는 않을수도 있겠지만요. 

그럼 관련하여 궁굼하셨던 분들이 계시다면 도움이 되셨길 바라겠습니다. 여기까지 포스팅을 보아 주셔서 감사합니다.