Windows 日志安全审核
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户,Windows会缓存前10次成功登录的登录。
|
Windows |
Windows 2008 事件 ID |
事件类型 |
描述 |
|---|---|---|---|
|
512, 513, 514, 515, 516, 518, 519, 520
|
4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616
|
系统事件
|
本地系统进程,例如系统启动,关闭和系统时间的改变。
|
|
517
|
4612
|
清除的审计日志
|
所有审计日志清除事件
|
|
528, 540
|
4624
|
成功用户登录
|
所有用户登录事件
|
|
529, 530, 531, 532, 533, 534, 535, 536, 537 539
|
4625
|
登录失败
|
所有用户登录失败事件
|
|
538
|
4634
|
成功用户退出
|
所有用户退出事件
|
|
560, 562, 563, 564, 565, 566, 567, 568
|
4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664
|
对象访问
|
当访问一给定的对象(文件,目录等) 访问的类型(例如读,写,删除) ,访问是否成功或失败,谁实施了这一行为
|
|
612
|
4719
|
审计政策改变
|
审计政策的改变
|
|
624, 625, 626, 627, 628, 629, 630, 642, 644
|
4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740
|
用户帐号改变
|
用户帐号的改变,像用户帐号创建,删除,改变密码等等
|
|
(631 to 641) and (643, 645 to 666)
|
4727 to 4737, 4739 to 4762
|
用户组改变
|
对一个用户组的所有改变,例如添加或移除一个全局组或本地组,从全局组或本地添加或移除成员等等
|
|
672, 680
|
4768, 4776
|
成功用户帐号验证
|
当一个域用户帐号在域控制器认证时,生成用户帐号成功登录事件。
|
|
675, 681
|
4771, 4777
|
失败用户帐号验证
|
失败用户帐号登录事件,当一个域用户帐号在域控制器认证时 ,生成不成功用户帐号登录事件。
|
|
682, 683
|
4778, 4779
|
主机会话状态
|
会话重新连接或断开
|
Windows 日志安全审核相关推荐
- windows日志和审核
windows事件日志简介 Windows事件日志记录着 Windows系统中发生的各类事件.通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操 ...
- 用Syslog 记录UNIX和Windows日志的方法
用Syslog 记录UNIX和Windows日志的方法 在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这 ...
- 将Windows日志转换为Syslog
无论是Unix.Linux.FreeBSD.Ubuntu,还是路由器.交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在.在RFC 3164中定义了syslog是一种日志协议,sysl ...
- Windows日志分析(中)
Windows日志分析宝典|事件响应指南(中) 前排提示: 使用手机预览的时候, 横屏预览更佳~ 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供 ...
- Windows日志浅析
Windows日志从Windows2000版本后共包括9种审计策略,共分为:帐户登录.登录.对象访问.目录服务访问.进程追踪.特权使用.帐户管理.策略变更.系统事件9大类. 1) 帐户登录:其实是对登 ...
- Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows日志分析 ...
- Windows日志分析(上)
Windows日志分析(上) 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源.用户名.计算机.事件类型和级别等详细信息,并显示应用程序和系统 ...
- 关于Windows日志
什么是日志? 简单来说,日志就是计算机系统.设备.软件等在某种情况下记录的信息.比如说:防火墙将记录ACL通过和拒绝的消息,磁盘存储系统在故障发生或者在某些系统认为将会发生故障的情况下生成日志信息. ...
- windows日志分析-Log Parser等工具使用
Windows 主要有以下三类日志记录系统事件:应用程序日志.系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件 ...
最新文章
- StringBuilder类
- 博士申请 | 香港中文大学(深圳)纪冬旭老师招收博士生/研究助理/博士后
- LeetCode 888. 公平的糖果交换(哈希set)
- 桔子浏览器电脑版看不了视频怎么办 视频无法播放怎么解决
- 数值方法与计算机算法试卷,《数值方法与计算机算法》课程教学大纲.pdf
- RGB图像中值平滑和均值平滑
- 使用Ntdsutil.exe捕获系统状态数据
- 工厂模式和抽象工厂模式
- 在线动态几何编辑器 GeometryEditor
- 微机原理与接口技术整理
- android中jni的调用过程,android JNI学习② JNI调用过程
- arduino编码器计数_基于Arduino开发环境的光电编码器检测仪设计方案
- 恢复计算机文件的软件,删除文件恢复大师软件
- 大前端学习工具及网站大全
- The Truman Show
- 【STM32F429】第27章 ThreadX GUIX炫酷实用的时钟表盘设计,结合硬件RTC实时时钟
- 本地ecshop网站怎么上传到服务器,ecshop 上传服务器
- Java求PI的几种方法
- 23西南大学电子信息专硕经验贴——常见问题
- Three.js + AI:WebGL的探险之旅