摘要: 日志在很多時(shí)候是非常重要的，尤其是登錄日志。從登錄日志中可以發(fā)現(xiàn)很多有價(jià)值的信息，window2008及以后的日志基本一致，2003由于時(shí)間太長(zhǎng)，微軟都停止更新了，所以重點(diǎn)介紹2008的登錄日志。

我們注重客戶提出的每個(gè)要求，我們充分考慮每一個(gè)細(xì)節(jié)，我們積極的做好成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)服務(wù)，我們努力開拓更好的視野，通過(guò)不懈的努力，創(chuàng)新互聯(lián)建站贏得了業(yè)內(nèi)的良好聲譽(yù)，這一切，也不斷的激勵(lì)著我們更好的服務(wù)客戶。 主要業(yè)務(wù)：網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)站設(shè)計(jì),微信小程序開發(fā),網(wǎng)站開發(fā),技術(shù)開發(fā)實(shí)力，DIV+CSS，PHP及ASP，ASP.Net，SQL數(shù)據(jù)庫(kù)的技術(shù)開發(fā)工程師。

一、 Windows登錄類型

Windows登錄類型對(duì)應(yīng)含義如下表：

類型ID	登錄方式	描述信息
2	Interactive	A user logged on to this computer at the console
3	Network	A user or computer logged on to this computer from the network
4	Batch	Batch logon type is used by batch servers, where processes might run on behalf of a user without the user’s direct intervention
5	Service	A service was started by the Service Control Manager
7	Unlock	This workstation was unlocked
8	NetworkCleartext	A user logged on to a network and the user password was passed to the authentication package in its unhashed (plain text) form. It is possible that the unhashed password was passed across the network, for example, when IIS performed basic authentication
9	NewCredentials	A caller (process, thread, or program) cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but it uses different credentials for other network connections.
10	RemoteInteractive	A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
11	CachedInteractive	A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials

登錄類型2：交互式登錄（Interactive）：就是指用戶在計(jì)算機(jī)的控制臺(tái)上進(jìn)行的登錄，也就是在本地鍵盤上進(jìn)行的登錄。

登錄類型3：網(wǎng)絡(luò)（Network）： 最常見的是訪問(wèn)網(wǎng)絡(luò)共享文件夾或打印機(jī)。另外大多數(shù)情況下通過(guò)網(wǎng)絡(luò)登錄IIS時(shí)也被記為這種類型，但基本驗(yàn)證方式的IIS登錄是個(gè)例外，它將被記為類型8。

登錄類型4：批處理（Batch） ：當(dāng)Windows運(yùn)行一個(gè)計(jì)劃任務(wù)時(shí)，“計(jì)劃任務(wù)服務(wù)”將為這個(gè)任務(wù)首先創(chuàng)建一個(gè)新的登錄會(huì)話以便它能在此計(jì)劃任務(wù)所配置的用戶賬戶下運(yùn)行，當(dāng)這種登錄出現(xiàn)時(shí)，Windows在日志中記為類型4，對(duì)于其它類型的工作任務(wù)系統(tǒng)，依賴于它的設(shè)計(jì)，也可以在開始工作時(shí)產(chǎn)生類型4的登錄事件，類型4登錄通常表明某計(jì)劃任務(wù)啟動(dòng)，但也可能是一個(gè)惡意用戶通過(guò)計(jì)劃任務(wù)來(lái)猜測(cè)用戶密碼，這種嘗試將產(chǎn)生一個(gè)類型4的登錄失敗事件，但是這種失敗登錄也可能是由于計(jì)劃任務(wù)的用戶密碼沒(méi)能同步更改造成的，比如用戶密碼更改了，而忘記了在計(jì)劃任務(wù)中進(jìn)行更改。

登錄類型5：服務(wù)（Service） ：與計(jì)劃任務(wù)類似，每種服務(wù)都被配置在某個(gè)特定的用戶賬戶下運(yùn)行，當(dāng)一個(gè)服務(wù)開始時(shí)，Windows首先為這個(gè)特定的用戶創(chuàng)建一個(gè)登錄會(huì)話，這將被記為類型5，失敗的類型5通常表明用戶的密碼已變而這里沒(méi)得到更新。

登錄類型7：解鎖（Unlock） ：很多公司都有這樣的安全設(shè)置：當(dāng)用戶離開屏幕一段時(shí)間后，屏保程序會(huì)鎖定計(jì)算機(jī)屏幕。解開屏幕鎖定需要鍵入用戶名和密碼。此時(shí)產(chǎn)生的日志類型就是Type 7。

登錄類型8：網(wǎng)絡(luò)明文（NetworkCleartext） ：通常發(fā)生在IIS 的 ASP登錄。不推薦。

 登錄類型9：新憑證（NewCredentials） ：通常發(fā)生在RunAS方式運(yùn)行某程序時(shí)的登錄驗(yàn)證。

登錄類型10：遠(yuǎn)程交互（RemoteInteractive） ：通過(guò)終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問(wèn)計(jì)算機(jī)時(shí)，Windows將記為類型10，以便與真正的控制臺(tái)登錄相區(qū)別，注意XP之前的版本不支持這種登錄類型，比如Windows2000仍然會(huì)把終端服務(wù)登錄記為類型2。

登錄類型11：緩存交互（CachedInteractive） :在自己網(wǎng)絡(luò)之外以域用戶登錄而無(wú)法登錄域控制器時(shí)使用緩存登錄。默認(rèn)情況下，Windows緩存了最近10次交互式域登錄的憑證HASH，如果以后當(dāng)你以一個(gè)域用戶登錄而又沒(méi)有域控制器可用時(shí)，Windows將使用這些HASH來(lái)驗(yàn)證你的身份。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

二、 常見登錄類型日志分析（以windows2008為例）

1、本地交互式登錄，也就是我們每天最常使用的登錄方式。

首先是成功的登錄，從日志分析來(lái)看至少會(huì)有2個(gè)事件發(fā)生，分別為ID4648、 4624，以下從上至下分別是各自的截圖。

審核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登錄

現(xiàn)在來(lái)分析下，首先是ID4648事件，該事件說(shuō)明有人使用身份憑據(jù)在嘗試登錄，并且頭字段中的用戶名為SYSTEM?？纯疵枋鲂畔⒅杏惺裁矗?/p>

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4648

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O （目標(biāo)機(jī)器名）

說(shuō)明:

試圖使用顯式憑據(jù)登錄。（說(shuō)明有人在嘗試登錄）

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$（主機(jī)名加了$后綴）

帳戶域: WORKGROUP  （主機(jī)的域名，此例中主機(jī)在名稱為“WORKGROUP”的工作組中）

登錄 ID: 0x3e7

登錄 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個(gè)帳戶的憑據(jù):

帳戶名: wrh（登錄使用的用戶名）

帳戶域: WIN-K7LDM0NKH6O （目標(biāo)帳戶域）

登錄 GUID: {00000000-0000-0000-0000-000000000000}

目標(biāo)服務(wù)器:

目標(biāo)服務(wù)器名: localhost

附加信息: localhost

進(jìn)程信息:

進(jìn)程 ID: 0xfb8

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

網(wǎng)絡(luò)地址: 127.0.0.1

端口: 0

接著是ID4624事件，看看描述信息：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4624

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已成功登錄帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$ （主機(jī)名加了$后綴）

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 2  （交互式登錄）

新登錄:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名: wrh （登錄的帳戶名稱）

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x51a72

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0xfb8

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 127.0.0.1

源端口: 0

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

接下來(lái)看看失敗的本地登錄。失敗登錄會(huì)產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:35:13

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x1f903

登錄類型: 2  （交互式登錄）

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: wrh （登錄的帳戶名稱）

帳戶域:

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。（失敗原因）

狀態(tài): 0xc000006e

子狀態(tài): 0xc000006e

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0xec0

調(diào)用方進(jìn)程名: C:\Windows\System32\dllhost.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: -

源端口: -

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: Advapi

身份驗(yàn)證數(shù)據(jù)包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

2、使用RDP協(xié)議進(jìn)行遠(yuǎn)程登錄，這也是日常經(jīng)常遇到的情況。

使用mstsc遠(yuǎn)程登錄某個(gè)主機(jī)時(shí)，使用的帳戶是管理員帳戶的話，成功的情況下會(huì)有ID為4648、4624、4672的事件產(chǎn)生。首先是成功登錄，如下圖所示，從中可以看到ID為4624，審核成功，登錄類型為10（遠(yuǎn)程交互）。并且描述信息中的主機(jī)名（源工作站）仍為被嘗試登錄主機(jī)的主機(jī)名，而不是源主機(jī)名。

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登錄

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登錄

現(xiàn)在來(lái)分析下，首先是ID4648事件，該事件說(shuō)明有人使用身份憑據(jù)在嘗試登錄，并且頭字段中的用戶名為SYSTEM?？纯疵枋鲂畔⒅杏惺裁矗?/p>

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4648

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

試圖使用顯式憑據(jù)登錄。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個(gè)帳戶的憑據(jù):

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 GUID: {00000000-0000-0000-0000-000000000000}

目標(biāo)服務(wù)器:

目標(biāo)服務(wù)器名: localhost

附加信息: localhost

進(jìn)程信息:

進(jìn)程 ID: 0xb3c

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

網(wǎng)絡(luò)地址: 192.168.0.122 （源主機(jī)IP地址）

端口: 10898  （源主機(jī)端口）

接著是ID4624事件，看看描述信息：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4624

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已成功登錄帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 10

新登錄:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0xa93db

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0xb3c

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10898

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

從這里可以看出和本地登錄至少有3個(gè)地方不一樣，首先登錄類型的ID為10，說(shuō)明是遠(yuǎn)程交互式登錄，其次是源網(wǎng)絡(luò)地址和源端口。

再來(lái)看看ID4672，特殊登錄事件：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4672

任務(wù)類別:          特殊登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

為新登錄分配了特殊權(quán)限。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0xa93db

特權(quán): SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

所有為登錄進(jìn)程分配特殊權(quán)限的操作都屬于“特殊登錄”事件。特殊權(quán)限是指，帳戶域WIN-K7LDM0NKH6O下的所有特權(quán)帳戶，用戶無(wú)法使用這些特權(quán)帳戶登錄系統(tǒng)，這些帳戶是留給系統(tǒng)服務(wù)進(jìn)程執(zhí)行特權(quán)操作用的。

接下來(lái)看看失敗的RDP協(xié)議登錄。失敗登錄會(huì)產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 16:57:50 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:50

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 10

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0xb3c

調(diào)用方進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10898

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

使用不存在的用戶名和錯(cuò)誤密碼分別登錄失敗，ID為4625，登錄類型為10（遠(yuǎn)程交互）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

3、遠(yuǎn)程訪問(wèn)某臺(tái)主機(jī)的共享資源，如某個(gè)共享文件夾。

首先是使用正確的用戶名和密碼訪問(wèn)遠(yuǎn)程共享主機(jī)，登錄事件ID為4624，登錄類型為3（Network），審核成功。列出了源網(wǎng)絡(luò)地址和端口。

審核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         4624

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已成功登錄帳戶。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登錄 ID: 0x0

登錄類型: 3

新登錄:

安全 ID: ANONYMOUS LOGON

帳戶名: ANONYMOUS LOGON

帳戶域: NT AUTHORITY

登錄 ID: 0x6ae53

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0x0

進(jìn)程名: -

網(wǎng)絡(luò)信息:

工作站名: CHINA-CE675F3BC

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10234

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: NtLmSsp

身份驗(yàn)證數(shù)據(jù)包: NTLM

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): NTLM V1

密鑰長(zhǎng)度: 0

如果訪問(wèn)共享資源使用的帳戶名、密碼正確，但是該用戶對(duì)指定的共享文件夾沒(méi)有訪問(wèn)權(quán)限時(shí)仍然會(huì)有ID為4624的認(rèn)證成功事件產(chǎn)生。

接下來(lái)的是事件ID為5140的文件共享日志，顯示了訪問(wèn)的共享文件夾名稱。

審核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         5140

任務(wù)類別:          文件共享

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已訪問(wèn)網(wǎng)絡(luò)共享對(duì)象。

主題:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名稱: wrh

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x6ae28

網(wǎng)絡(luò)信息:

源地址: 192.168.0.122

源端口: 10234

共享名稱: \\*\wrh

再來(lái)看看共享訪問(wèn)登錄失敗事件ID4625的日志信息：

審核失敗 2016/9/23 15:15:12 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 15:15:12

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登錄 ID: 0x0

登錄類型: 3

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0x0

調(diào)用方進(jìn)程名: -

網(wǎng)絡(luò)信息:

工作站名: CHINA-CE675F3BC

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 9323

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: NtLmSsp

身份驗(yàn)證數(shù)據(jù)包: NTLM

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

同RDP協(xié)議遠(yuǎn)程登錄，使用不存在的用戶名和錯(cuò)誤密碼分別登錄失敗，ID為4625，登錄類型為3（網(wǎng)絡(luò)）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

4、解鎖登錄

解鎖登錄和遠(yuǎn)程登錄一樣，成功的情況下會(huì)有ID為4648、4624、4672的事件產(chǎn)生。首先是成功登錄，如下圖所示，從中可以看到ID為4624，審核成功，登錄類型為7（Unlock）。

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登錄

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登錄

接下來(lái)看看失敗的解鎖登錄。同樣，失敗登錄會(huì)產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 16:28:35 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:28:35

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 7

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0x204

調(diào)用方進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10156

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

同樣，使用不存在的用戶名和錯(cuò)誤密碼分別登錄失敗，ID為4625，登錄類型為7（unlock）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

    最后我們總結(jié)一下“審計(jì)登錄”事件：

· 在進(jìn)程嘗試通過(guò)顯式指定帳戶的憑據(jù)來(lái)登錄該帳戶時(shí)生成4648事件。

· 成功的登錄通常會(huì)有4624事件產(chǎn)生，在創(chuàng)建登錄會(huì)話后在被訪問(wèn)的計(jì)算機(jī)上生成此事件。

· 如果用戶有特權(quán)會(huì)有4672事件產(chǎn)生。

· 通常情況下只需關(guān)注登錄類型為2、3、7、10類型的4625登錄失敗事件。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞名稱：Windows登錄日志詳解-創(chuàng)新互聯(lián)
新聞來(lái)源：http://jinyejixie.com/article48/dpsoep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、手機(jī)網(wǎng)站建設(shè)、搜索引擎優(yōu)化、網(wǎng)站營(yíng)銷、定制網(wǎng)站、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)