Windows 日志安全审核
2015-04-09 09:44
134 查看
Windows Logon Type的含义
我只是把主要的内容整理了一下备查。
Logon type 2 Interactive 本地交互登录。最常见的登录方式。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户,Windows会缓存前10次成功登录的登录。
我只是把主要的内容整理了一下备查。
Logon type 2 Interactive 本地交互登录。最常见的登录方式。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户,Windows会缓存前10次成功登录的登录。
| Windows 事件 ID | Windows 2008 事件 ID | 事件类型 | 描述 |
|---|---|---|---|
| [align=left]512, 513, 514, 515, 516, 518, 519, 520[/align] | [align=left]4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616[/align] | [align=left]系统事件[/align] | [align=left]本地系统进程,例如系统启动,关闭和系统时间的改变。[/align] |
| [align=left]517[/align] | [align=left]4612[/align] | [align=left]清除的审计日志[/align] | [align=left]所有审计日志清除事件[/align] |
| [align=left]528, 540[/align] | [align=left]4624[/align] | [align=left]成功用户登录[/align] | [align=left]所有用户登录事件[/align] |
| [align=left]529, 530, 531, 532, 533, 534, 535, 536, 537 539[/align] | [align=left]4625[/align] | [align=left]登录失败[/align] | [align=left]所有用户登录失败事件[/align] |
| [align=left]538[/align] | [align=left]4634[/align] | [align=left]成功用户退出[/align] | [align=left]所有用户退出事件[/align] |
| [align=left]560, 562, 563, 564, 565, 566, 567, 568[/align] | [align=left]4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664[/align] | [align=left]对象访问[/align] | [align=left]当访问一给定的对象(文件,目录等) 访问的类型(例如读,写,删除) ,访问是否成功或失败,谁实施了这一行为[/align] |
| [align=left]612[/align] | [align=left]4719[/align] | [align=left]审计政策改变[/align] | [align=left]审计政策的改变[/align] |
| [align=left]624, 625, 626, 627, 628, 629, 630, 642, 644[/align] | [align=left]4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740[/align] | [align=left]用户帐号改变[/align] | [align=left]用户帐号的改变,像用户帐号创建,删除,改变密码等等[/align] |
| [align=left](631 to 641) and (643, 645 to 666)[/align] | [align=left]4727 to 4737, 4739 to 4762[/align] | [align=left]用户组改变[/align] | [align=left]对一个用户组的所有改变,例如添加或移除一个全局组或本地组,从全局组或本地添加或移除成员等等[/align] |
| [align=left]672, 680[/align] | [align=left]4768, 4776[/align] | [align=left]成功用户帐号验证[/align] | [align=left]当一个域用户帐号在域控制器认证时,生成用户帐号成功登录事件。[/align] |
| [align=left]675, 681[/align] | [align=left]4771, 4777[/align] | [align=left]失败用户帐号验证[/align] | [align=left]失败用户帐号登录事件,当一个域用户帐号在域控制器认证时 ,生成不成功用户帐号登录事件。[/align] |
| [align=left]682, 683[/align] | [align=left]4778, 4779[/align] | [align=left]主机会话状态[/align] | [align=left]会话重新连接或断开[/align] |
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- [电脑]Windows 安全事件日志中的事件编号与描述
- Windows登录类型及安全日志解析
- 读取系统日志安全日志审核配置
- [windows安全设置]Win 2000安全审核策略让入侵者无处遁形
- zabbix3.0监控windows系统安全日志,实现监控用户登录windows并报警的功能
- windows系统审核与日志
- Windows登录类型及安全日志解析
- windows 2003 server安全日志分析
- windows安全小知识(启动安全性日志)
- Windows安全事件日志中的事件编号与描述
- Windows清除安全日志
- 安全审核 用Nmap为你的Windows网络找漏洞
- Windows登录类型及安全日志解析
- Windows登录类型及安全日志解析
- [转]Writing Custom Entries to the Audit Log in Windows SharePoint Services 3.0(如何记录自定义审核日志)
- windows安全日志-登陆类型
- windows 服务器系统日志分析及安全
- windows安全日志登录类型
- 查看账户安全审核失败日志事件