EventLog jest w każdym windows (napewno od XP w górę)
Jest to usługa która loguje zdarzenia która sobie zarzyczysz w ‘Zasady inspekcji’.
By nikt nie mógł zmienić ustawień załóż dodatkowe konto do pracy na codzień (Użytkownik z ograniczonym dostępem),
Klikasz: Start -> Uruchom i wpisujesz control userpasswords2
tam klikasz Dodaj, i w ostatniej podstronie ustaw poziom dostępu na ‘Użytkownik z ograniczonym dostępem’
Z tego konta korzystaj na codzień, do pracy, internetu itp. By dokonać jakichś poważniejszych zmian w systemie(instalacja programu, zmiana ustawień itp) będziesz musiał się przelogować na konto administratora.
Teraz żeby włączyć właściwe logowanie zdarzeń, z poziomu konta administratora klikasz: Panel sterowania -> Narzędzia administracyjne -> Zasady zabezpieczń lokalnych -> Zasady lokalne -> Zasady inspekcji
po prawej klikasz Przeprowadź inspekcję zdarzeń logowania na kontach -> wybierz ‘Sukces’ i ‘Niepowodzenie’
Zatwierdzasz [Ok][Ok] i wychodzisz.
Od teraz loguj się na tym nowo utworzonym koncie, a na konto Administratora załóż hasło (można z poziomu: control userpasswords2), dzięki temu wszystkie zdarzenia logowania na konto będą zapisywane w EventLog i bez znajomości hasła administratora nie będzie możliwości ominięcia czy wyłączenia tej usługi.
Żeby przejrzeć ostatnie zdarzenia w EventLog z poziomu konta administratora wpisz w Start->Uruchom: eventvwr.msc
lub klikaj w Panel sterowowania -> Narzędzia administracyjne -> Podgląd zdarzeń -> Zabezpieczenia
Po prawej masz zdarzenia logowania, możesz je sobier posortować wg. daty, kategorii lub pozostałych kolumn lub przefiltrować przez:
Widok -> Filtruj:
Źródło zdarzenia -> Security
Kategoria -> Logowanie wylogowywanie
Swoją drogą praca na koncie z ograniczonymi uprawnieniami jest dużo bezpieczniejsza, wirusy nie mają możliwości zagnieżdżenia się na dobre w systemie a ataki z zewnątrz są utrudnione ze względu na niskie uprawnienia konta roboczego.
Odpowiednio ustawiając pozostałe Zasady inspekcji możesz logować też inne zdarzenia np. dostęp do katalogów, uruchamianie programów, zmiana uprawnień itp.
Jeżeli nie chcesz się za często przelogowywać na konto administratora to proponuję program typu FreeCommander, będąc na koncie zwykłego użytkownika (nie administratora) możesz kliknąć prawym przyciskiem na ikonie programu i wybierając "Uruchom jako’ -> wybierasz 2 opcje a następnie podajesz nazwe konta administratora i hasło do tego konta.
W ten sposób program uruchomi się z uprawnieniami administratora a w nim masz już linki do Panelu sterowania itp. (chodzi o to że przy próbie otworzenia czegoś w Panelu sterowania z poziomu ograniczonego konta otrzymasz komunikat o braku uprawnień lub nie będziesz mógł wprowadzić zmian)
PS Powyższy opis opieram na Windows XP (choć pewnie w Viscie lub 7 będzie w miarę podobnie)