Windows 日志安全审核
来源:互联网 发布:淘宝充值软件哪个好 编辑:程序博客网 时间:2024/05/01 11:46
Windows Logon Type的含义
我只是把主要的内容整理了一下备查。
Logon type 2 Interactive 本地交互登录。最常见的登录方式。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户,Windows会缓存前10次成功登录的登录。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户,Windows会缓存前10次成功登录的登录。
Windows
事件 ID
事件类型
描述
512, 513, 514, 515, 516, 518, 519, 520
4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616
系统事件
本地系统进程,例如系统启动,关闭和系统时间的改变。
517
4612
清除的审计日志
所有审计日志清除事件
528, 540
4624
成功用户登录
所有用户登录事件
529, 530, 531, 532, 533, 534, 535, 536, 537 539
4625
登录失败
所有用户登录失败事件
538
4634
成功用户退出
所有用户退出事件
560, 562, 563, 564, 565, 566, 567, 568
4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664
对象访问
当访问一给定的对象(文件,目录等) 访问的类型(例如读,写,删除) ,访问是否成功或失败,谁实施了这一行为
612
4719
审计政策改变
审计政策的改变
624, 625, 626, 627, 628, 629, 630, 642, 644
4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740
用户帐号改变
用户帐号的改变,像用户帐号创建,删除,改变密码等等
(631 to 641) and (643, 645 to 666)
4727 to 4737, 4739 to 4762
用户组改变
对一个用户组的所有改变,例如添加或移除一个全局组或本地组,从全局组或本地添加或移除成员等等
672, 680
4768, 4776
成功用户帐号验证
当一个域用户帐号在域控制器认证时,生成用户帐号成功登录事件。
675, 681
4771, 4777
失败用户帐号验证
失败用户帐号登录事件,当一个域用户帐号在域控制器认证时 ,生成不成功用户帐号登录事件。
682, 683
4778, 4779
主机会话状态
会话重新连接或断开
0 0
- Windows 日志安全审核
- 读取系统日志安全日志审核配置
- 读取系统日志安全日志审核配置
- windows安全日志-登陆类型
- [windows安全设置]Win 2000安全审核策略让入侵者无处遁形
- Windows登录类型及安全日志解析
- Windows Server 2008安全日志 学习摘要
- Windows登录类型及安全日志解析
- [windows安全设置]windows日志的保护与伪造
- 审核策略设置(服务器安全)
- IIS 安全事件 审核解读
- 日志安全
- [电脑]Windows 安全事件日志中的事件编号与描述
- Windows 2000安全事件日志中的事件编号与描述
- windows安全小知识(启动安全性日志)
- windows服务器安全事件日志事件编号与描述
- 【干货】Windows 服务器系统日志分析及安全
- 初探SAP内部安全审核方法
- frame,iframe,frameset之间的关系与区别
- linux常用命令
- 验证java中1个char是2个字节
- 测试用例实例--常见功能测试点
- SpringMVC 文件上传配置,多文件上传,使用的MultipartFile
- Windows 日志安全审核
- 关于sizeof和memset/memcpy的一些事
- 安装nautilus-open-terminal插件
- jquery插件ajaxFileUpload实现异步上传文件案例
- 测试用例的设计方法(全)
- hibernate criteria 查询
- nginx出现403 forbidden的错误
- matplotlib简单的画图
- Android编译详解之lunch命令