Windows-Anmeldeverlauf anzeigen in Windows 10 und Windows 11

Überblick

So sehen Sie, wer sich bei Windows 10 oder Windows 11 angemeldet hat

Windows zeichnet viele authentifizierungsbezogene Ereignisse im integrierten Sicherheitsprotokoll auf. Über diese Ereignisse können Sie herausfinden, wann sich jemand angemeldet hat, ob die Anmeldung lokal oder remote erfolgte, welches Konto verwendet wurde und ob fehlgeschlagene Kennwortversuche stattgefunden haben.

Das wichtigste integrierte Werkzeug dafür ist die Ereignisanzeige. Außerdem können Sie PowerShell für schnelleres Filtern, die Eingabeaufforderung für grundlegende Kontoinformationen und die Microsoft-Kontosicherheitsseite verwenden, wenn Sie sich mit einem Microsoft-Konto anmelden.

ℹ️

Gut zu wissen In der Regel benötigen Sie Administratorrechte, um das vollständige Sicherheitsprotokoll anzuzeigen. Standardbenutzer sehen möglicherweise nicht alle Anmeldeüberwachungsereignisse.

Was Sie herausfinden können

Erfolgreiche lokale Anmeldungen am PC.
Fehlgeschlagene Kennwortversuche.
Remotedesktop-Anmeldesitzungen.
Sperr- und Entsperrereignisse des Computers.
Kontonamen, Zeitstempel, Anmeldetypen und Namen von Quellcomputern.

Referenz

Windows-Anmeldeereignis-IDs, die Sie kennen sollten

Bevor Sie die Protokolle prüfen, ist es hilfreich, die wichtigsten Ereignis-IDs zu kennen. Windows verwendet diese Nummern, um bestimmte Anmelde- und Kontoereignisse zu identifizieren.

4624 Erfolgreiche Kontoanmeldung. Dies ist das wichtigste Ereignis zum Auffinden erfolgreicher Anmeldungen.

4625 Fehlgeschlagener Anmeldeversuch. Nützlich zum Prüfen falscher Kennworteingaben oder unautorisierter Zugriffsversuche.

4634 Kontoabmeldung. Zeigt, wann eine Anmeldesitzung beendet wurde.

4647 Vom Benutzer initiierte Abmeldung. Bedeutet, dass sich der Benutzer aktiv abgemeldet hat.

4800 Arbeitsstation gesperrt. Erscheint, wenn der Computer gesperrt wird.

4801 Arbeitsstation entsperrt. Erscheint, wenn der Computer entsperrt wird.

Häufige Anmeldetypen

Anmeldetyp	Bedeutung	Beispiel
`2`	Interaktive Anmeldung	Jemand hat sich direkt über Tastatur und Bildschirm angemeldet.
`3`	Netzwerkanmeldung	Zugriff auf einen freigegebenen Ordner oder eine Netzwerkressource.
`7`	Entsperren	Ein Benutzer hat eine zuvor gesperrte Sitzung entsperrt.
`10`	Remoteinteraktive Anmeldung	Remotedesktop-Verbindung.
`11`	Zwischengespeicherte interaktive Anmeldung	Domänenbenutzer hat sich mit zwischengespeicherten Anmeldeinformationen angemeldet.

Methode 1

Windows-Anmeldeverlauf mit der Ereignisanzeige prüfen

Die Ereignisanzeige ist die einfachste grafische Methode, um den Windows-Anmeldeverlauf zu prüfen. Sie funktioniert sowohl in Windows 10 als auch in Windows 11.

Drücken Sie Win + R.
Geben Sie eventvwr.msc ein und drücken Sie Enter.
Öffnen Sie im linken Bereich Windows-Protokolle.
Wählen Sie Sicherheit.
Suchen Sie nach Ereignissen mit der ID 4624 für erfolgreiche Anmeldungen und 4625 für fehlgeschlagene Anmeldungen.

Ereignisanzeige → Windows-Protokolle → Sicherheit

Klicken Sie auf ein Ereignis und öffnen Sie die Registerkarte Allgemein. Achten Sie auf Felder wie Kontoname, Anmeldetyp, Arbeitsstationsname, Quellnetzwerkadresse und Fehlerursache.

⚠️

Wichtig Eine einzige echte Benutzeranmeldung kann mehrere Ereignisse erzeugen. Windows protokolliert auch Hintergrundprozesse, Dienste, Netzwerkzugriffe und Systemauthentifizierungen. Prüfen Sie daher immer den Anmeldetyp, bevor Sie Schlussfolgerungen ziehen.

Methode 2

Erfolgreiche und fehlgeschlagene Anmeldeversuche in der Ereignisanzeige filtern

Das Sicherheitsprotokoll kann Tausende Ereignisse enthalten. Das Filtern nach Ereignis-ID erleichtert es deutlich, nur die benötigten Anmeldedatensätze zu finden.

Erfolgreiche Anmeldungen filtern

Öffnen Sie die Ereignisanzeige.
Gehen Sie zu Windows-Protokolle → Sicherheit.
Klicken Sie rechts auf Aktuelles Protokoll filtern.
Geben Sie im Feld <Alle Ereignis-IDs> den Wert 4624 ein.
Klicken Sie auf OK.

Fehlgeschlagene Anmeldeversuche filtern

Öffnen Sie dasselbe Fenster Aktuelles Protokoll filtern.
Geben Sie 4625 in das Feld für die Ereignis-ID ein.
Klicken Sie auf OK.
Öffnen Sie ein Ereignis und prüfen Sie Fehlerursache und Kontoname.

Um mehrere Ereignistypen gleichzeitig zu prüfen, geben Sie sie durch Kommas getrennt ein:

4624,4625,4634,4647,4800,4801

Methode 3

Windows-Anmeldeverlauf mit PowerShell prüfen

PowerShell ist schneller, wenn Sie aktuelle Anmeldeereignisse suchen möchten, ohne manuell durch die Ereignisanzeige zu navigieren. Öffnen Sie Windows Terminal oder PowerShell als Administrator und führen Sie die folgenden Befehle aus.

Aktuelle erfolgreiche Anmeldungen anzeigen

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Aktuelle fehlgeschlagene Anmeldeversuche anzeigen

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Anmelde-, Abmelde-, Sperr- und Entsperrereignisse zusammen anzeigen

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,4800,4801} -MaxEvents 50 |
Select-Object TimeCreated, Id, Message

💡

Tipp Die PowerShell-Ausgabe kann sehr lang sein, weil das Feld Message den vollständigen Ereignistext enthält. Verwenden Sie die Ereignisanzeige, wenn Sie eine visuelle Oberfläche bevorzugen.

Methode 4

Grundlegende Benutzer-Anmeldeinformationen mit der Eingabeaufforderung prüfen

Die Eingabeaufforderung zeigt das vollständige Sicherheitsprotokoll nicht so übersichtlich wie die Ereignisanzeige oder PowerShell, kann aber nützliche Kontodetails anzeigen.

Letzte Anmeldung eines lokalen Benutzers prüfen

net user username

Ersetzen Sie username durch den tatsächlichen Windows-Kontonamen. Suchen Sie nach der Zeile Letzte Anmeldung.

Aktuell angemeldete Benutzer anzeigen

query user

Auf einigen Systemen funktioniert auch der kürzere Befehl quser.

Aktuellen Benutzer anzeigen

whoami

⚠️

Einschränkung Der Befehl net user ist für schnelle Kontoprüfungen nützlich, stellt aber keinen vollständigen Anmelde-Audit-Trail dar. Für einen detaillierten Anmeldeverlauf verwenden Sie das Sicherheitsprotokoll.

Methode 5

Remotedesktop-Anmeldeverlauf in Windows prüfen

Wenn Sie wissen möchten, ob sich jemand über Remotedesktop verbunden hat, prüfen Sie bei Ereignis-ID 4624 den Anmeldetyp 10. Dieser steht für eine remoteinteraktive Anmeldung.

Öffnen Sie die Ereignisanzeige.
Gehen Sie zu Windows-Protokolle → Sicherheit.
Filtern Sie nach Ereignis-ID 4624.
Öffnen Sie ein Ereignis und prüfen Sie das Feld Anmeldetyp.
Wenn der Wert 10 lautet, erfolgte die Anmeldung über Remotedesktop.

Für Aktivitäten von Remotedesktop-Sitzungen können Sie außerdem dieses Protokoll prüfen:

Anwendungs- und Dienstprotokolle → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational

Methode 6

Anmeldeaktivität des Microsoft-Kontos prüfen

Wenn Sie sich mit einem Microsoft-Konto bei Windows anmelden, zeichnet die lokale Ereignisanzeige die Windows-Anmeldeaktivität auf. Die Sicherheitsaktivität des Microsoft-Kontos wird jedoch online geprüft.

Öffnen Sie Ihren Browser.
Rufen Sie die Sicherheitsseite Ihres Microsoft-Kontos auf.
Öffnen Sie Anmeldeaktivität oder Letzte Aktivität.
Prüfen Sie erfolgreiche Anmeldungen, fehlgeschlagene Versuche, Standorte, Geräte und IP-bezogene Informationen.

Das ist besonders hilfreich, wenn Sie vermuten, dass jemand von einem anderen Gerät oder Standort aus versucht hat, auf Ihr Microsoft-Konto zuzugreifen.

Überwachungseinstellungen

So aktivieren Sie die Anmeldeüberwachung in Windows

Die meisten Windows-Installationen zeichnen wichtige Anmeldeereignisse bereits auf. Wenn das Sicherheitsprotokoll jedoch nicht die erwarteten Einträge enthält, sollten Sie die Überwachungsrichtlinie prüfen.

Anmeldeereignisüberwachung in der lokalen Sicherheitsrichtlinie aktivieren

Drücken Sie Win + R.
Geben Sie secpol.msc ein und drücken Sie Enter.
Öffnen Sie Lokale Richtlinien → Überwachungsrichtlinie.
Doppelklicken Sie auf Anmeldeereignisse überwachen.
Aktivieren Sie Erfolg und Fehler.
Klicken Sie auf OK.

ℹ️

Hinweis zu Windows Home Einige Windows-Editionen enthalten die Konsole „Lokale Sicherheitsrichtlinie“ nicht. Verwenden Sie in diesem Fall die Eingabeaufforderung oder PowerShell mit Administratorrechten.

Anmeldeüberwachung über die Eingabeaufforderung aktivieren

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Aktuelle Überwachungsrichtlinie prüfen

auditpol /get /subcategory:"Logon"

Problembehebung

Warum der Windows-Anmeldeverlauf fehlen kann

Wenn Sie keine Anmeldeereignisse finden, liegt es meistens an einem der folgenden Gründe:

Überwachung ist deaktiviert: Aktivieren Sie Erfolgs- und Fehlerüberwachung für Anmeldeereignisse.
Das Sicherheitsprotokoll wurde gelöscht: Die Ereignisanzeige protokolliert das Löschen des Protokolls als separates administratives Ereignis.
Das Protokoll wurde überschrieben: Ältere Ereignisse können verschwinden, wenn die maximale Protokollgröße erreicht wird.
Sie sind kein Administrator: Verwenden Sie ein Administratorkonto, um das Sicherheitsprotokoll zu lesen.
Sie prüfen den falschen Ereignistyp: Netzwerkzugriffe, Entsperrereignisse, RDP-Sitzungen und lokale Anmeldungen verwenden unterschiedliche Anmeldetypen.

Größe des Sicherheitsprotokolls erhöhen

Öffnen Sie die Ereignisanzeige.
Klicken Sie mit der rechten Maustaste auf Windows-Protokolle → Sicherheit.
Wählen Sie Eigenschaften.
Erhöhen Sie die Maximale Protokollgröße.
Legen Sie fest, ob Windows alte Ereignisse überschreiben oder das Protokoll archivieren soll.

FAQ

Häufig gestellte Fragen zum Windows-Anmeldeverlauf

Kann ich das genaue Kennwort sehen, das bei einem fehlgeschlagenen Anmeldeversuch eingegeben wurde?

Nein. Windows speichert oder zeigt eingegebene Kennwörter in der Ereignisanzeige nicht an. Sie können sehen, dass eine Anmeldung fehlgeschlagen ist, welches Konto betroffen war und manchmal den Fehlergrund, aber nicht das Kennwort selbst.

Wie erkenne ich, ob sich jemand an meinem PC angemeldet hat, während ich nicht da war?

Prüfen Sie Ereignis-ID 4624 im Sicherheitsprotokoll und achten Sie auf Anmeldetyp 2, 7 oder 10. Prüfen Sie außerdem Sperr- und Entsperrereignisse 4800 und 4801.

Speichert Windows den Anmeldeverlauf dauerhaft?

Nein. Ereignisse bleiben nur erhalten, solange sie sich noch im Sicherheitsprotokoll befinden. Wenn das Protokoll seine Größenbegrenzung erreicht, können alte Einträge je nach Protokolleinstellungen überschrieben werden.

Kann ich den Anmeldeverlauf ohne Administratorrechte prüfen?

In den meisten Fällen nein. Für das Anzeigen des vollständigen Sicherheitsprotokolls sind Administratorrechte erforderlich.

Wie prüfe ich fehlgeschlagene Kennwortversuche am besten?

Verwenden Sie die Ereignisanzeige und filtern Sie das Sicherheitsprotokoll nach Ereignis-ID 4625. Öffnen Sie jedes Ereignis und prüfen Sie Kontoname, Fehlerursache und Quellinformationen.

Zusammenfassung

Zusammenfassung: Die besten Methoden zum Anzeigen des Windows-Anmeldeverlaufs

Der vollständigste Weg, den Windows-Anmeldeverlauf zu prüfen, ist Ereignisanzeige → Windows-Protokolle → Sicherheit und das Filtern nach Ereignis-IDs wie 4624 für erfolgreiche Anmeldungen und 4625 für fehlgeschlagene Versuche. Für eine schnellere Suche verwenden Sie PowerShell. Für schnelle Kontoinformationen nutzen Sie net user, query user und whoami.

Wenn Sie zuverlässige zukünftige Einträge benötigen, stellen Sie sicher, dass die Anmeldeüberwachung aktiviert ist, und erhöhen Sie die Größe des Sicherheitsprotokolls, damit ältere Anmeldeereignisse nicht zu schnell überschrieben werden.