Windows登錄類型及安全日志解析
一、Windows登錄類型
如果你留意Windows系統的安全日志,在那些事件描述中你將會發現里面的“登錄類型”並非全部相同,難道除了在鍵盤上進行交互式登錄(登錄類型1)之外還有其它類型嗎?不錯,Windows為了讓你從日志中獲得更多有價值的信息,它細分了很多種登錄類型,以便讓你區分登錄者到底是從本地登錄,還是從網絡登錄,以及其它更多的登錄方式。因為了解了這些登錄方式,將有助於你從事件日志中發現可疑的黑客行為,並能夠判斷其攻擊方式。下面我們就來詳細地看看Windows的登錄類型。登錄類型2:交互式登錄(Interactive)
這應該是你最先想到的登錄方式吧,所謂交互式登錄就是指用戶在計算機的控制台上進行的登錄,也就是在本地鍵盤上進行的登錄,但不要忘記通過KVM登錄仍然屬於交互式登錄,雖然它是基於網絡的。
登錄類型3:網絡(Network)
當你從網絡的上訪問一台計算機時在大多數情況下Windows記為類型3,最常見的情況就是連接到共享文件夾或者共享打印機時。另外大多數情況下通過網絡登錄IIS時也被記為這種類型,但基本驗證方式的IIS登錄是個例外,它將被記為類型8,下面將講述。
登錄類型4:批處理(Batch)
當Windows運行一個計划任務時,“計划任務服務”將為這個任務首先創建一個新的登錄會話以便它能在此計划任務所配置的用戶賬戶下運行,當這種登錄出現時,Windows在日志中記為類型4,對於其它類型的工作任務系統,依賴於它的設計,也可以在開始工作時產生類型4的登錄事件,類型4登錄通常表明某計划任務啟動,但也可能是一個惡意用戶通過計划任務來猜測用戶密碼,這種嘗試將產生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由於計划任務的用戶密碼沒能同步更改造成的,比如用戶密碼更改了,而忘記了在計划任務中進行更改。
登錄類型5:服務(Service)
與計划任務類似,每種服務都被配置在某個特定的用戶賬戶下運行,當一個服務開始時,Windows首先為這個特定的用戶創建一個登錄會話,這將被記為類型5,失敗的類型5通常表明用戶的密碼已變而這里沒得到更新,當然這也可能是由惡意用戶的密碼猜測引起的,但是這種可能性比較小,因為創建一個新的服務或編輯一個已存在的服務默認情況下都要求是管理員或serversoperators身份,而這種身份的惡意用戶,已經有足夠的能力來干他的壞事了,已經用不着費力來猜測服務密碼了。
登錄類型7:解鎖(Unlock)
你可能希望當一個用戶離開他的計算機時相應的工作站自動開始一個密碼保護的屏保,當一個用戶回來解鎖時,Windows就把這種解鎖操作認為是一個類型7的登錄,失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。
登錄類型8:網絡明文(NetworkCleartext)
這種登錄表明這是一個像類型3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,WindowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型。“登錄過程”欄都將列出Advapi。
登錄類型9:新憑證(NewCredentials)
當你使用帶/Netonly參數的RUNAS命令運行一個程序時,RUNAS以本地當前登錄用戶運行它,但如果這個程序需要連接到網絡上的其它計算機時,這時就將以RUNAS命令中指定的用戶進行連接,同時Windows將把這種登錄記為類型9,如果RUNAS命令沒帶/Netonly參數,那么這個程序就將以指定的用戶運行,但日志中的登錄類型是2。
登錄類型10:遠程交互(RemoteInteractive)
當你通過終端服務、遠程桌面或遠程協助訪問計算機時,Windows將記為類型10,以便與真正的控制台登錄相區別,注意XP之前的版本不支持這種登錄類型,比如Windows2000仍然會把終端服務登錄記為類型2。
登錄類型11:緩存交互(CachedInteractive)
Windows支持一種稱為緩存登錄的功能,這種功能對移動用戶尤其有利,比如你在自己網絡之外以域用戶登錄而無法登錄域控制器時就將使用這種功能,默認情況下,Windows緩存了最近10次交互式域登錄的憑證HASH,如果以后當你以一個域用戶登錄而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。
上面講了Windows的登錄類型,但默認情況下Windows2000是沒有記錄安全日志的,你必須先啟用組策略“計算機配置/Windows設置/安全設置/本地策略/審核策略”下的“審核登錄事件”才能看到上面的記錄信息。希望這些詳細的記錄信息有助於大家更好地掌握系統情況,維護網絡安定。
二、日志記錄
'*************************************************************************' 通過終端登錄服務器的日志(管理員帳號登錄)
'*************************************************************************
2006-5-9 8:24:01 Security 成功審核 登錄/注銷 528 COMPUTERNAME\clientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x17F4C31B)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-9 8:24:01 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-9 8:23:44 Security 成功審核 系統事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: Winlogon\MSGina "
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x17F4C31B)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-9 8:24:01 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-9 8:23:44 Security 成功審核 系統事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: Winlogon\MSGina "
'*************************************************************************
' AT計划IIS服務重啟(腳本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
2006-5-9 7:00:34 Security 成功審核 登錄/注銷 540 COMPUTERNAME\IUSR_COMPUTERNAME COMPUTERNAME "成功的網絡登錄:
用戶名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登錄 ID: (0x0,0x17BF45CB)
登錄類型: 3
登錄過程: IIS
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 7:00:34 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
IUSR_COMPUTERNAME
工作站:
COMPUTERNAME
"
2006-5-9 7:00:34 Security 成功審核 系統事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: \inetinfo.exe "
2006-5-9 7:00:16 Security 成功審核 登錄/注銷 538 COMPUTERNAME\IUSR_COMPUTERNAME COMPUTERNAME "用戶注銷:
用戶名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登錄 ID: (0x0,0x158DFFBF)
登錄類型: 3
"
用戶名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登錄 ID: (0x0,0x17BF45CB)
登錄類型: 3
登錄過程: IIS
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 7:00:34 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
IUSR_COMPUTERNAME
工作站:
COMPUTERNAME
"
2006-5-9 7:00:34 Security 成功審核 系統事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: \inetinfo.exe "
2006-5-9 7:00:16 Security 成功審核 登錄/注銷 538 COMPUTERNAME\IUSR_COMPUTERNAME COMPUTERNAME "用戶注銷:
用戶名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登錄 ID: (0x0,0x158DFFBF)
登錄類型: 3
"
'*************************************************************************
' 計划任務運行程序日志(管理員帳號)
'*************************************************************************
2006-5-9 1:08:04 Security 成功審核 登錄/注銷 538 COMPUTERNAME\clientUserName COMPUTERNAME "用戶注銷:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x167C8DC4)
登錄類型: 4
"
2006-5-9 1:00:00 Security 成功審核 登錄/注銷 528 COMPUTERNAME\clientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x167C8DC4)
登錄類型: 4
登錄過程: Advapi
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 1:00:00 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x167C8DC4)
登錄類型: 4
"
2006-5-9 1:00:00 Security 成功審核 登錄/注銷 528 COMPUTERNAME\clientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x167C8DC4)
登錄類型: 4
登錄過程: Advapi
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 1:00:00 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
'*************************************************************************
' 從服務器斷開后重新連接到服務器
'*************************************************************************
2006-5-4 19:24:24 Security 成功審核 登錄/注銷 682 COMPUTERNAME\clientUserName COMPUTERNAME "會話被重新連接到 winstation:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x37A9068)
會話名稱: RDP-Tcp#3
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
2006-5-4 19:24:23 Security 成功審核 登錄/注銷 683 COMPUTERNAME\clientUserName COMPUTERNAME "會話從 winstation 中斷連接:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0xA28751E)
會話名稱: Unknown
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
2006-5-4 19:24:20 Security 成功審核 登錄/注銷 528 COMPUTERNAME\clientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0xA28751E)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-4 19:24:20 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-4 19:23:58 Security 成功審核 系統事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: Winlogon\MSGina "
2006-5-4 19:22:34 Security 成功審核 登錄/注銷 683 COMPUTERNAME\clientUserName COMPUTERNAME "會話從 winstation 中斷連接:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x37A9068)
會話名稱: Unknown
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x37A9068)
會話名稱: RDP-Tcp#3
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
2006-5-4 19:24:23 Security 成功審核 登錄/注銷 683 COMPUTERNAME\clientUserName COMPUTERNAME "會話從 winstation 中斷連接:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0xA28751E)
會話名稱: Unknown
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
2006-5-4 19:24:20 Security 成功審核 登錄/注銷 528 COMPUTERNAME\clientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0xA28751E)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-4 19:24:20 Security 成功審核 帳戶登錄 680 NT AUTHORITY\SYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-4 19:23:58 Security 成功審核 系統事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: Winlogon\MSGina "
2006-5-4 19:22:34 Security 成功審核 登錄/注銷 683 COMPUTERNAME\clientUserName COMPUTERNAME "會話從 winstation 中斷連接:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x37A9068)
會話名稱: Unknown
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
'*************************************************************************
' 通過Net User/Net LocalGroup等命令添加用戶帳號,加入指定組,刪除帳號(Win2K3)
'*************************************************************************
2006-5-9 9:23:06 Security 審核成功 帳戶管理 630 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了用戶帳戶:
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 633 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了啟用安全的全局組成員:
成員名稱: -
成員ID: COMPUTERNAME\mytest
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\None
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 637 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了啟用安全的本地組:
成員名稱: -
成員 ID: COMPUTERNAME\mytest
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTIN\Administrators
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 637 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了啟用安全的本地組:
成員名稱: -
成員 ID: COMPUTERNAME\mytest
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTIN\Users
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:21:24 Security 審核成功 帳戶管理 636 COMPUTERNAME\clientUserName COMPUTERNAME "添加了啟用安全的本地組成員:
成員名稱: -
成員ID: COMPUTERNAME\mytest
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTIN\Administrators
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 636 COMPUTERNAME\clientUserName COMPUTERNAME "添加了啟用安全的本地組成員:
成員名稱: -
成員ID: COMPUTERNAME\mytest
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTIN\Users
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 628 COMPUTERNAME\clientUserName COMPUTERNAME "設置了用戶帳戶密碼:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 642 COMPUTERNAME\clientUserName COMPUTERNAME "更改了用戶帳戶:
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方所屬域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
更改的屬性:
SAM 帳戶名稱: mytest
顯示名稱: <未設置值>
用戶主要名稱: -
主目錄: <未設置值>
主驅動器: <未設置值>
腳本路徑: <未設置值>
配置文件路徑: <未設置值>
用戶工作站: <未設置值>
上一次設置的密碼: 2006-5-9 9:17:13
帳戶過期: <從不>
主要組 ID: 513
AllowedToDelegateTo: -
舊 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用戶帳戶控制: -
用戶參數: -
Sid 歷史: -
登錄時間(以小時計): <值已更改,但未顯示>
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 626 COMPUTERNAME\clientUserName COMPUTERNAME "啟用了用戶帳戶:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 624 COMPUTERNAME\clientUserName COMPUTERNAME "創建了用戶帳戶:
新的帳戶名: mytest
新域: COMPUTERNAME
新帳戶標識: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
%調用方登錄 ID: (0x0,0x2363D)
特權: -
屬性:
SAM 帳戶名稱: mytest
顯示名稱: <未設置值>
用戶主要名稱: -
主目錄: <未設置值>
主驅動器: <未設置值>
腳本路徑: <未設置值>
配置文件路徑: <未設置值>
用戶工作站: <未設置值>
上一次設置的密碼: <從不>
帳戶過期: <從不>
主要組 ID: 513
AllowedToDelegateTo: -
舊 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用戶帳戶控制: -
用戶參數: <未設置值>
Sid 歷史: -
登錄時間: <值已更改,但未顯示>
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 632 COMPUTERNAME\clientUserName COMPUTERNAME "添加了啟用安全的全局組成員:
成員名稱: -
成員 ID: COMPUTERNAME\mytest
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\None
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 633 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了啟用安全的全局組成員:
成員名稱: -
成員ID: COMPUTERNAME\mytest
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\None
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 637 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了啟用安全的本地組:
成員名稱: -
成員 ID: COMPUTERNAME\mytest
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTIN\Administrators
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 637 COMPUTERNAME\clientUserName COMPUTERNAME "刪除了啟用安全的本地組:
成員名稱: -
成員 ID: COMPUTERNAME\mytest
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTIN\Users
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:21:24 Security 審核成功 帳戶管理 636 COMPUTERNAME\clientUserName COMPUTERNAME "添加了啟用安全的本地組成員:
成員名稱: -
成員ID: COMPUTERNAME\mytest
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTIN\Administrators
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 636 COMPUTERNAME\clientUserName COMPUTERNAME "添加了啟用安全的本地組成員:
成員名稱: -
成員ID: COMPUTERNAME\mytest
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTIN\Users
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 628 COMPUTERNAME\clientUserName COMPUTERNAME "設置了用戶帳戶密碼:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 642 COMPUTERNAME\clientUserName COMPUTERNAME "更改了用戶帳戶:
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方所屬域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
更改的屬性:
SAM 帳戶名稱: mytest
顯示名稱: <未設置值>
用戶主要名稱: -
主目錄: <未設置值>
主驅動器: <未設置值>
腳本路徑: <未設置值>
配置文件路徑: <未設置值>
用戶工作站: <未設置值>
上一次設置的密碼: 2006-5-9 9:17:13
帳戶過期: <從不>
主要組 ID: 513
AllowedToDelegateTo: -
舊 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用戶帳戶控制: -
用戶參數: -
Sid 歷史: -
登錄時間(以小時計): <值已更改,但未顯示>
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 626 COMPUTERNAME\clientUserName COMPUTERNAME "啟用了用戶帳戶:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 624 COMPUTERNAME\clientUserName COMPUTERNAME "創建了用戶帳戶:
新的帳戶名: mytest
新域: COMPUTERNAME
新帳戶標識: COMPUTERNAME\mytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
%調用方登錄 ID: (0x0,0x2363D)
特權: -
屬性:
SAM 帳戶名稱: mytest
顯示名稱: <未設置值>
用戶主要名稱: -
主目錄: <未設置值>
主驅動器: <未設置值>
腳本路徑: <未設置值>
配置文件路徑: <未設置值>
用戶工作站: <未設置值>
上一次設置的密碼: <從不>
帳戶過期: <從不>
主要組 ID: 513
AllowedToDelegateTo: -
舊 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用戶帳戶控制: -
用戶參數: <未設置值>
Sid 歷史: -
登錄時間: <值已更改,但未顯示>
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 632 COMPUTERNAME\clientUserName COMPUTERNAME "添加了啟用安全的全局組成員:
成員名稱: -
成員 ID: COMPUTERNAME\mytest
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAME\None
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
帳號重命名(685、642)
*************************************************************************************
Windows 重啟事件
*************************************************************************************
事件6005表示計算機日志服務已啟動,如果在事件查看器中發現某日的事件ID號為6005,就說明這天正常啟動了windows系統。
事件6006表示事件日志服務已停止,如果沒有在事件查看器中發現某日的事件ID為6006的事件,就表示計算機在這天沒關機或沒有正常關機(可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作)。如果事件6005和6006的記錄時間相差很短,大致可判斷為重啟(當然可以通過事件1074進行詳細的查看)。
事件1074,在系統的事件跟蹤程序開啟的情況下,可以通過這個事件查看計算機的開機、關機、重啟的時間以及原因和注釋。
If you're looking for a system initiated shutdown/restart, look for event 1074. The details for this event will tell you what process initiated the restart and what reason was given, and you can check the reason code for further information about why the system shut down or restarted.
事件6009如果你發現多個例如“事件日志已啟動”、“Microsoft (R) Windows 2000 (R) 5.0 2195 Service Pack 2 Uniprocessor Free”這樣的信息,一般來說都是系統有過相關的重啟或關機;
Event 6009 is logged at startup, not at shutdown. It contains only a string identifying the operating system version. It's been that way since NT 4.0 or so
事件6013 Windows2008:系統啟動時間為 29 秒。
這個日志(6013)的信息並不是表示你的計算機重啟了,而是說明自從上次啟動以來,系統運行了多長的時間了。該日志會每天12點整出現一次。至於如何查看系統運行多長時間了,請在cmd中輸入systeminfo其中有一行就是“系統啟動時間”,該值精確到秒)
事件1007表示該計算機無法從DHCP服務器獲得相應的信息。在很多網絡環境中,一般都是采用DHCP服務器配置客戶端IP地址信息,如果客戶機無法找到DHCP服務器,就會自動使用一個內部的IP地址配置客戶端,並且在windows日志中產生一個事件ID號為1007的事件。如果用戶在事件日志中發現該編號事件,就說明該機器無法從DHCP服務器獲得信息。就要查看是該機器的網絡故障還是DHCP服務器的問題了。
最后,推薦一個查看日志原因的網站鏈接,以供參考。
帳號鎖定
事件 ID: 644 類似於以下的消息可能會在安全日志中出現,即使沒有用戶帳戶已被鎖定原因的錯誤登錄嘗試:
事件 ID: 644。
審核成功。
事件用戶: NT AUTHORITY\ANONYMOUS 登錄。
事件源: 安全。
事件詳細信息: 用戶帳戶鎖定:
-或者-
事件 ID: 644。
審核成功。
事件用戶: NT AUTHORITY\SYSTEM。
事件源: 安全。
事件詳細信息: 用戶帳戶鎖定:
目標帳戶 ID: 系統
但是,此消息可能不正確地顯示在安全日志中,它可能 不 表示已被由於的無效登錄嘗試鎖定帳戶。
http://support.microsoft.com/kb/887433
您網絡上的用戶可能意外地鎖定用戶帳戶。即使用戶沒有以前嘗試登錄,並在未鍵入任何不正確的用戶名或密碼,將發生此問題。在這種情況,在基於 Microsoft Windows Server 2003 的計算機上的事件日志中記錄以下事件:
事件類型: 錯誤
事件源: SAM
事件類別: 無
事件 ID: 12294
日期:
時間:
用戶:
計算機:
說明: SAM 數據庫無法鎖定的帳戶由於資源錯誤,如硬磁盤寫的失敗 (一個特定的錯誤代碼在錯誤數據中)。因此,提供了一定數量的錯誤密碼后,帳戶會鎖定請考慮重設上面提到的帳戶的密碼。
在您網絡上的計算機感染了 W32 時,可能發生此問題。Randex.F 蠕蟲病毒或它的變體。
若要解決此問題,請使用最新的可用的病毒定義網絡上運行完整的病毒掃描。使用掃描刪除 W32。Randex.F 蠕蟲病毒。有關如何執行病毒掃描或如何獲得最新的病毒定義,請參閱您的防病毒軟件文檔或與制造商聯系。
有關如何與您的防病毒程序制造商聯系的其他信息請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
有關如何與您的防病毒程序制造商聯系的其他信息請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
49500防病毒軟件供應商的列表
Windows 2008 帳號鎖定 事件 ID: 4625
日志名稱: Security
來源: Microsoft-Windows-Security-Auditing
日期: 2013/10/25 10:46:15
事件 ID: 4625
任務類別: 帳戶鎖定
級別: 信息
關鍵字: 審核失敗
用戶: 暫缺
計算機: K3N1
描述:
帳戶登錄失敗。
主題:
安全 ID: NULL SID
帳戶名: -
帳戶域: -
登錄 ID: 0x0
登錄類型: 3
登錄失敗的帳戶:
安全 ID: NULL SID
帳戶名: DEV
帳戶域: K3N1
失敗信息:
失敗原因: 帳戶已鎖定。
狀態: 0xc0000234
子狀態: 0x0
進程信息:
調用方進程 ID: 0x0
調用方進程名: -
網絡信息:
工作站名: CITY-PC
源網絡地址: -
源端口: -
詳細身份驗證信息:
登錄進程: NtLmSsp
身份驗證數據包: NTLM
傳遞服務: -
數據包名(僅限 NTLM): -
密鑰長度: 0
登錄請求失敗時在嘗試訪問的計算機上生成此事件。
“主題”字段指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。
“登錄類型”字段指明發生的登錄的種類。最常見的類型是 2 (交互式)和 3 (網絡)。
“進程信息”字段表明系統上的哪個帳戶和進程請求了登錄。
“網絡信息”字段指明遠程登錄請求來自哪里。“工作站名”並非總是可用,而且在某些情況下可能會留為空白。
“身份驗證信息”字段提供關於此特定登錄請求的詳細信息。
-“傳遞服務”指明哪些直接服務參與了此登錄請求。
-“數據包名”指明在 NTLM 協議之間使用了哪些子協議。
-“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰,則此字段為 0。
Windows 2008
日志名稱: Security
來源: Microsoft-Windows-Security-Auditing
日期: 2013/7/18 10:33:13
事件 ID: 4625
任務類別: 登錄
級別: 信息
關鍵字: 審核失敗
用戶: 暫缺
計算機: ncndc1test10
描述:
帳戶登錄失敗。
主題:
安全 ID: NULL SID
帳戶名: -
帳戶域: -
登錄 ID: 0x0
登錄類型: 3
登錄失敗的帳戶:
安全 ID: NULL SID
帳戶名: test
帳戶域: WIN-TDAU7R8OHSD
失敗信息:
失敗原因: 未知用戶名或密碼錯誤。
狀態: 0xc000006d
子狀態: 0xc000006a
進程信息:
調用方進程 ID: 0x0
調用方進程名: -
網絡信息:
工作站名: WIN-TDAU7R8OHSD
源網絡地址: -
源端口: -
詳細身份驗證信息:
登錄進程: NtLmSsp
身份驗證數據包: NTLM
傳遞服務: -
數據包名(僅限 NTLM): -
密鑰長度: 0
登錄請求失敗時在嘗試訪問的計算機上生成此事件。
“主題”字段指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。
“登錄類型”字段指明發生的登錄的種類。最常見的類型是 2 (交互式)和 3 (網絡)。
“進程信息”字段表明系統上的哪個帳戶和進程請求了登錄。
“網絡信息”字段指明遠程登錄請求來自哪里。“工作站名”並非總是可用,而且在某些情況下可能會留為空白。
“身份驗證信息”字段提供關於此特定登錄請求的詳細信息。
-“傳遞服務”指明哪些直接服務參與了此登錄請求。
-“數據包名”指明在 NTLM 協議之間使用了哪些子協議。
-“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰,則此字段為 0。