Windows系统怀疑被别人登录

1. 打开事件查看器

右键点击电脑桌面左下角的开始菜单，选择「事件查看器」，即可启动工具。如图图示：

启动后，在左侧导航栏找到并展开「Windows 日志」选项，点击子菜单中的「安全」—— 这里集中存储了系统所有登录、权限变更等安全相关日志，是排查异常登录的核心数据来源。如图：

由于「安全」日志数量通常较多，为快速筛选目标记录，可点击右侧「操作」栏中的「筛选当前日志」功能，精准定位登录相关事件。

2. 查看登录/注销日志

右侧点击“筛选当前日志... ”，在“所有事件 ID”框中输入：4624, 4625, 4634, 4647。

4624: 登录成功
4625: 登录失败
4634/4647: 注销成功

关键分析点：查看每个“4624”成功登录的事件（重点排查对象，需关注非本人操作的登录记录）切换到「详细信息」标签页，选择「友好视图」，在下方「EventData」栏目中找到「IpAddress」字段 —— 该字段后的内容即为登录来源的 IP 地址

验证 IP 归属地：若发现陌生 IP 地址，可通过 IP 地址查询网查看当前出网 IP，查询归属地是否为本人常用地点（如异地 IP 需高度警惕，可能存在非法远程访问）。

补充提示

系统日志是排查异常登录的重要依据，但部分攻击者可能会清除日志痕迹掩盖操作。若发现陌生登录 IP，建议立即修改系统登录密码（设置强密码）、并及时备份重要数据，避免信息泄露或数据损失。

‍