Como ver o histórico de logins no Windows 10 e Windows 11

Visão geral

Como saber quem fez login no Windows 10 ou Windows 11

O Windows registra muitos eventos relacionados à autenticação no log integrado de Segurança. Ao analisar esses eventos, você pode saber quando alguém entrou no sistema, se o acesso foi local ou remoto, qual conta foi usada e se houve tentativas de senha incorreta.

A ferramenta integrada mais útil para essa tarefa é o Visualizador de Eventos. Você também pode usar o PowerShell para filtrar mais rapidamente, o Prompt de Comando para obter informações básicas de contas e a página de segurança da conta Microsoft caso entre no Windows com uma conta Microsoft.

ℹ️

É bom saber Normalmente, você precisa de direitos de administrador para ver o log de Segurança completo. Usuários padrão podem não conseguir visualizar todos os eventos de auditoria de login.

O que você pode encontrar

Logins locais bem-sucedidos no PC.
Tentativas de senha com falha.
Sessões iniciadas por Área de Trabalho Remota.
Eventos de bloqueio e desbloqueio do computador.
Nomes de conta, horários, tipos de login e nomes dos computadores de origem.

Referência

IDs de eventos de login do Windows que você precisa conhecer

Antes de analisar os logs, é útil conhecer os IDs de eventos mais comuns. O Windows usa esses números para identificar eventos específicos de login e de contas.

4624 Login bem-sucedido em uma conta. É o principal evento para localizar acessos realizados com sucesso.

4625 Tentativa de login com falha. Útil para verificar senhas incorretas ou tentativas de acesso não autorizadas.

4634 Logoff de conta. Mostra quando uma sessão iniciada foi encerrada.

4647 Logoff iniciado pelo usuário. Indica que o usuário encerrou a sessão manualmente.

4800 Estação de trabalho bloqueada. Aparece quando o computador é bloqueado.

4801 Estação de trabalho desbloqueada. Aparece quando o computador é desbloqueado.

Tipos comuns de login

Tipo de login	Significado	Exemplo
`2`	Login interativo	Alguém entrou usando o teclado e a tela do computador.
`3`	Login de rede	Acesso a uma pasta compartilhada ou a um recurso de rede.
`7`	Desbloqueio	O usuário desbloqueou uma sessão que estava bloqueada.
`10`	Login interativo remoto	Conexão feita pela Área de Trabalho Remota.
`11`	Login interativo em cache	Um usuário de domínio entrou usando credenciais armazenadas em cache.

Método 1

Consultar o histórico de logins do Windows com o Visualizador de Eventos

O Visualizador de Eventos é o método gráfico mais simples para revisar o histórico de logins no Windows. Ele funciona tanto no Windows 10 quanto no Windows 11.

Pressione Win + R.
Digite eventvwr.msc e pressione Enter.
No painel esquerdo, abra Logs do Windows.
Selecione Segurança.
Procure eventos com o ID 4624 para logins bem-sucedidos e 4625 para tentativas com falha.

Visualizador de Eventos → Logs do Windows → Segurança

Clique em um evento e abra a guia Geral. Procure campos como Nome da conta, Tipo de login, Nome da estação de trabalho, Endereço de rede de origem e Motivo da falha.

⚠️

Importante Um único login real pode gerar vários eventos. O Windows também registra processos em segundo plano, serviços, acesso de rede e eventos de autenticação do sistema. Sempre verifique o Tipo de login antes de tirar conclusões.

Método 2

Filtrar tentativas de login bem-sucedidas e falhadas no Visualizador de Eventos

O log de Segurança pode conter milhares de eventos. Filtrar por ID de evento facilita muito encontrar apenas os registros de login de que você precisa.

Filtrar logins bem-sucedidos

Abra o Visualizador de Eventos.
Vá para Logs do Windows → Segurança.
Clique em Filtrar Log Atual no painel direito.
No campo <Todos os IDs de Evento>, digite 4624.
Clique em OK.

Filtrar tentativas de login com falha

Abra a mesma janela Filtrar Log Atual.
Digite 4625 no campo de ID do evento.
Clique em OK.
Abra um evento e verifique Motivo da falha e Nome da conta.

Para verificar vários tipos de eventos ao mesmo tempo, digite-os separados por vírgulas:

4624,4625,4634,4647,4800,4801

Método 3

Usar o PowerShell para consultar o histórico de logins no Windows

O PowerShell é mais rápido quando você quer pesquisar eventos recentes de login sem navegar manualmente pelo Visualizador de Eventos. Abra o Windows Terminal ou o PowerShell como administrador e execute os comandos abaixo.

Mostrar logins bem-sucedidos recentes

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Mostrar tentativas recentes de login com falha

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Mostrar eventos de login, logoff, bloqueio e desbloqueio juntos

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,4800,4801} -MaxEvents 50 |
Select-Object TimeCreated, Id, Message

💡

Dica A saída do PowerShell pode ser longa porque o campo Message contém o texto completo do evento. Use o Visualizador de Eventos se preferir uma interface visual.

Método 4

Consultar informações básicas de login de usuários pelo Prompt de Comando

O Prompt de Comando não mostra o log de Segurança completo com a mesma clareza do Visualizador de Eventos ou do PowerShell, mas pode exibir dados úteis sobre contas.

Verificar o último login de um usuário local

net user username

Substitua username pelo nome real da conta do Windows. Procure a linha Último logon.

Mostrar usuários conectados atualmente

query user

Em alguns sistemas, o comando abreviado quser também funciona.

Mostrar o usuário atual

whoami

⚠️

Limitação O comando net user é útil para verificações rápidas de contas, mas não é um histórico completo de auditoria de logins. Para um histórico detalhado, use o log de Segurança.

Método 5

Verificar o histórico de logins por Área de Trabalho Remota no Windows

Se você quer saber se alguém se conectou pela Área de Trabalho Remota, procure o tipo de login 10 no evento ID 4624. Esse valor indica um login interativo remoto.

Abra o Visualizador de Eventos.
Vá para Logs do Windows → Segurança.
Filtre pelo ID de evento 4624.
Abra um evento e verifique o campo Tipo de login.
Se o valor for 10, o acesso foi feito pela Área de Trabalho Remota.

Você também pode revisar este log para ver a atividade de sessões da Área de Trabalho Remota:

Logs de Aplicativos e Serviços → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational

Método 6

Revisar a atividade de login da conta Microsoft

Se você usa uma conta Microsoft para entrar no Windows, o Visualizador de Eventos local registra a atividade de login no Windows, mas a atividade de segurança da conta Microsoft é verificada online.

Abra o navegador.
Acesse a página de segurança da conta Microsoft.
Abra Atividade de login ou Atividade recente.
Revise logins bem-sucedidos, tentativas com falha, locais, dispositivos e informações relacionadas ao IP.

Isso é especialmente útil se você suspeita que alguém tentou acessar sua conta Microsoft a partir de outro dispositivo ou local.

Configuração de auditoria

Como ativar a auditoria de logins no Windows

A maioria das instalações do Windows já registra os eventos importantes de login, mas se o log de Segurança não contiver os registros esperados, verifique a política de auditoria.

Ativar a auditoria de eventos de login na Política de Segurança Local

Pressione Win + R.
Digite secpol.msc e pressione Enter.
Abra Políticas Locais → Política de Auditoria.
Clique duas vezes em Auditar eventos de logon.
Ative Sucesso e Falha.
Clique em OK.

ℹ️

Observação para Windows Home Algumas edições do Windows não incluem o console Política de Segurança Local. Nesse caso, use o Prompt de Comando ou o PowerShell com direitos de administrador.

Ativar a auditoria de login pelo Prompt de Comando

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Verificar a política de auditoria atual

auditpol /get /subcategory:"Logon"

Solução de problemas

Por que o histórico de logins pode estar ausente no Windows

Se você não encontra eventos de login, normalmente a causa é uma destas situações:

A auditoria está desativada: ative a auditoria de sucessos e falhas para eventos de login.
O log de Segurança foi apagado: o Visualizador de Eventos registra a limpeza do log como um evento administrativo separado.
O log foi sobrescrito: eventos antigos podem desaparecer quando o tamanho máximo do log é atingido.
Você não é administrador: use uma conta de administrador para ler o log de Segurança.
Você está verificando o tipo de evento errado: acesso de rede, eventos de desbloqueio, sessões RDP e logins locais usam tipos de login diferentes.

Aumentar o tamanho do log de Segurança

Abra o Visualizador de Eventos.
Clique com o botão direito em Logs do Windows → Segurança.
Selecione Propriedades.
Aumente o Tamanho máximo do log.
Escolha se o Windows deve sobrescrever eventos antigos ou arquivar o log.

FAQ

Perguntas frequentes sobre o histórico de logins no Windows

Posso ver a senha exata usada em uma tentativa de login com falha?

Não. O Windows não salva nem mostra as senhas digitadas no Visualizador de Eventos. Você pode ver que um login falhou, qual conta foi alvo e, às vezes, o motivo da falha, mas não a senha.

Como saber se alguém entrou no meu PC enquanto eu estava ausente?

Verifique o evento ID 4624 no log de Segurança e procure o tipo de login 2, 7 ou 10. Também revise os eventos de bloqueio e desbloqueio 4800 e 4801.

O Windows mantém o histórico de logins para sempre?

Não. Os eventos permanecem apenas enquanto continuarem dentro do log de Segurança. Se o log atingir o limite de tamanho, os registros antigos podem ser sobrescritos de acordo com a configuração do log.

Posso consultar o histórico de logins sem direitos de administrador?

Na maioria dos casos, não. Visualizar o log de Segurança completo exige privilégios de administrador.

Qual é a melhor forma de verificar tentativas de senha com falha?

Use o Visualizador de Eventos e filtre o log de Segurança pelo ID de evento 4625. Abra cada evento e verifique Nome da conta, Motivo da falha e informações de origem.

Resumo

Resumo: melhores formas de ver o histórico de logins do Windows

A forma mais completa de revisar o histórico de logins no Windows é abrir Visualizador de Eventos → Logs do Windows → Segurança e filtrar por IDs de eventos como 4624 para logins bem-sucedidos e 4625 para tentativas com falha. Para buscas mais rápidas, use o PowerShell. Para informações rápidas de contas, use net user, query user e whoami.

Se você precisa de registros confiáveis no futuro, confirme que a auditoria de logins está ativada e aumente o tamanho do log de Segurança para que eventos antigos não sejam sobrescritos cedo demais.