安全事件日志中的登录事件
windows日志ID
表 1:安全事件日志中的登录事件
事件 ID |
说明 |
528 |
用户成功登录计算机。 |
529 |
用户使用系统未知的用户名登录,或已知用户使用错误的密码登录。 |
530 |
用户帐户在许可的时间范围外登录。 |
531 |
用户使用已禁用的帐户登录。 |
532 |
用户使用过期帐户登录。 |
533 |
不允许用户登录计算机。 |
534 |
用户使用不许可的登录类型(如网络、交互、批量、服务或远程交互)进行登录。 |
535 |
指定帐户的密码已过期。 |
536 |
Net Logon 服务未处于活动状态。 |
537 |
登录由于其他原因而失败。 |
538 |
用户注销。 |
539 |
试图登录时帐户已被锁定。此事件表示密码***失败,并导致该帐户被锁定。 |
540 |
网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源,同时为该网络用户生成了一个令牌。 |
682 |
用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。 |
683 |
用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。 |
使用登录事件项可诊断下面的安全事件:
• |
本地登录尝试失败 在大型环境中,可能很难有效说明这些事件。作为一种规则,如果这些模式重复发生,或符合其他一些非正常因素,则应研究这些模式。例如,半夜,在发生若干 529 事件后发生了 528 事件,可能表示密码***成功(或管理员非常疲惫)。 |
• |
帐户滥用 |
• |
帐户锁定 |
• |
终端服务*** |
Contoso 监视大量的登录尝试失败和大量帐户锁定。在这样的环境中,由于一些合理的原因,常要让用户将终端服务会话保持断开状态。
帐户登录事件
当用户登录域时,这种登录在域控制器中处理。如果在域控制器中审核帐户登录事件,则会在验证该帐户的域控制器上记录此登录尝试。帐户登录事件是在身份验证程序包验证用户的凭据时创建的。只有使用域凭据,才会在域控制器的事件日志中生成帐户登录事件。如果提供的凭据为本地安全帐户管理器 (SAM) 数据库凭据,则会在服务器的安全事件日志中创建帐户登录事件。
因为帐户登录事件可能会记录在域的任何有效域控制器中,所以必须确保将各域控制器中的安全日志合并,以分析该域中的所有帐户登录事件。
注意:与登录事件相同,帐户登录事件既包括计算机登录事件,也包括用户登录事件。
作为“成员服务器和域控制器基准策略”的一部分,成功和失败的帐户登录事件都应启用审核。因此,应能看到网络登录和终端服务身份验证的下列事件 ID。
表 2:事件日志中的帐户登录事件
事件 ID |
说明 |
672 |
身份验证服务 (AS) 票证已成功签发和验证。 |
673 |
已授予票证授予服务 (TGS) 票证。 |
674 |
安全主要对象续订了 AS 票证或 TGS 票证。 |
675 |
预身份验证失败。 |
676 |
身份验证票证请求失败。 |
677 |
未授予 TGS 票证。 |
678 |
某个帐户已成功映射到域帐户。 |
680 |
标识成功登录的帐户。此事件还指出了验证帐户的身份验证程序包。 |
681 |
尝试域帐户登录。 |
682 |
用户重新连接一个已断开的终端服务会话。 |
683 |
用户在没有注销的情况下断开了终端服务会话。 |
对于每个这样的事件,事件日志都会显示每个特定登录的详细信息。使用帐户登录事件项可诊断下面的安全事件:
• |
域登录尝试失败 |
• |
时间同步问题 |
• |
终端服务*** |
Contoso 当前要监视数量巨大的失败域登录尝试。根据其环境的不同,其他一些事件无关紧要。配置这些设置时,他们确定的最好方法是,首先以一个相对较严格的设置开始,然后持续减少它的严格程度,直到一些非实质警告的数量减少。目前,他们监视的是 10 分钟时间段中发生 10 次失败登录的所有情况。这些数字在所有环境中可能都是不同的。
帐户管理
帐户管理审核用于确定何时创建、更改或删除了用户或组。这种审核可用于确定何时创建了安全主要对象,以及谁执行了该任务。
作为“成员服务器和域控制器基准策略”的一部分,帐户管理中的成功和失败都应启用审核。因此,应该会看到安全日志中记录的下列事件 ID。
表 3:事件日志中的帐户管理事件
事件 ID |
说明 |
624 |
创建了用户帐户 |
625 |
用户帐户类型更改 |
626 |
启用了用户帐户 |
627 |
尝试进行了密码更改 |
628 |
设置了用户帐户密码。 |
629 |
禁用了用户帐户 |
630 |
删除了用户帐户 |
631 |
创建了启用安全的全局组 |
632 |
添加了启用安全的全局组成员 |
633 |
删除了启用安全的全局组成员 |
634 |
删除了启用安全的全局组 |
635 |
创建了禁用安全的本地组 |
636 |
添加了启用安全的本地组成员 |
637 |
删除了启用安全的本地组成员 |
638 |
删除了启用安全的本地组 |
639 |
更改了启用安全的本地组 |
641 |
更改了启用安全的全局组 |
642 |
更改了用户帐户 |
643 |
更改了域策略 |
644 |
锁定了用户帐户 |
使用安全日志项可诊断下面的帐户管理事件:
• |
用户帐户的创建 |
• |
更改了用户帐户密码 |
• |
更改了用户帐户状态 |
• |
安全组的修改 |
• |
帐户锁定 |
因为 Contoso 是一个较大的企业,所以每天有大量的帐户要维护。监视所有这些事件会导致环境中产生太多的警告,而这些警告不必全部进行合理的解决
转载于:https://blog.51cto.com/subraner/1111608
安全事件日志中的登录事件相关推荐
- outlook 未安装信息服务器,Outlook Web Access 未初始化并且在客户端访问服务器上的应用程序日志中记录了事件 ID 64...
Outlook Web Access 未初始化并且在客户端访问服务器上的应用程序日志中记录了事件 ID 64 07/04/2014 本文内容 上一次修改主题: 2007-10-17 尝试访问 Micr ...
- 安全事件日志中的事件编号与描述
帐号登录事件 (事件编号与描述) 672 身份验证服务(AS)票证得到成功发行与验证. 673 票证授权服务(TGS)票证得到授权.TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行 ...
- Windows安全事件日志中的事件编号与描述
帐号登录事件(事件编号与描述) 672 身份验证服务(AS)票证得到成功发行与验证. 673 票证授权服务(TGS)票证得到授权.TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行.且 ...
- 如何查看 Windows 服务器中的登录事件
在 Windows 中,您可以为操作系统检测到的某些事件启用"审核策略".一种这样的审计策略是审计服务器上发生的任何登录/注销事件.这可能是记录哪些帐户正在登录您的服务器.何时以及 ...
- 锁定计算机的事件日志,关闭并重新启动计算机后意外地在系统事件日志中记录了事件 ID 6008...
修补程序信息 此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性).这些文件的日期和时间按协调世界时 (UTC) 列出.当您查看文件信息时,该时间将转换为本地时间.要了解 UTC 与本地时间 ...
- 日志中的秘密 Windows登录类型知多少?
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗 不错,Window ...
- 日志中的秘密 Windows登录类型都有哪些
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗 不错,Window ...
- 日志中的秘密:Windows登录类型知多少
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗? 不错,Windo ...
- 运维:Windows 系统安全日志中登录类型介绍
IT运维者必备技能包括能看懂操作系统的日志,才能快速定位问题处理问题,Windows系统的安全日志中可以获得更多有价值的信息,比如它细分了很多种登录类型,可以方便让你区分登录者到底是从本地登录.网络登 ...
最新文章
- iOS处理高并发量的数据请求和数据集合的对应关系
- 【Spring实战】—— 5 设值注入
- 移动应用专项测试思路和方法
- 蓝桥杯练习系统习题解答-入门训练
- WPF 调用线程无法访问此对象,因为另一个线程拥有该对象
- c#中abstract与virtual的区别
- 三星公布三款新型车用芯片 向大众供应
- NSArray 所有基础点示例
- NOIP2016愤怒的小鸟 题解报告 【状压DP】
- day09 python之函数进阶
- 代码管理学:首次提出代码的平台化思维
- C++常用数据类型和Windows常见数据类型
- 【ArcGIS】02 植被分类
- itmo大学计算机专业,【俄罗斯圣光机大学访学】计算机学院ITMO交流访学团
- JNI 方法大全及使用示例
- 怎么提供电子邮件副本_停止提供您的电话号码和电子邮件
- 网络准入控制 — 保护网络安全
- Java中resualtset,Java SafeEncoder類代碼示例
- c语言程序设计第三版乌云高娃答案,C语言程序设计教学课件作者第3版乌云高娃补充习题及答案C语言程序设计教学课件作者第3版乌云高娃补充习题及答案第3章补充习题及答案课件.doc...
- (亲测可用)如何在Win10家庭版中找回组策略编辑器