Windows 日志安全审核

Windows Logon Type的含义

 

我只是把主要的内容整理了一下备查。

 

Logon type 2 Interactive  本地交互登录。最常见的登录方式。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的，出现Failure常见的情况是管理员更改了域帐号密码，但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置：当用户离开屏幕一段时间后，屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的，用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户，Windows会缓存前10次成功登录的登录。

Windows 
事件 ID

Windows 2008 事件 ID

事件类型

描述

512, 513, 514, 515, 516, 518, 519, 520

4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616

系统事件

本地系统进程，例如系统启动，关闭和系统时间的改变。

517

4612

清除的审计日志

所有审计日志清除事件

528, 540

4624

成功用户登录

所有用户登录事件

529, 530, 531, 532, 533, 534, 535, 536, 537 539

4625

登录失败

所有用户登录失败事件

538

4634

成功用户退出

所有用户退出事件

560, 562, 563, 564, 565, 566, 567, 568

4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664

对象访问

当访问一给定的对象（文件，目录等） 访问的类型(例如读，写，删除) ，访问是否成功或失败，谁实施了这一行为

612

4719

审计政策改变

审计政策的改变

624, 625, 626, 627, 628, 629, 630, 642, 644

4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740

用户帐号改变

用户帐号的改变，像用户帐号创建，删除，改变密码等等

(631 to 641) and (643, 645 to 666)

4727 to 4737, 4739 to 4762

用户组改变

对一个用户组的所有改变，例如添加或移除一个全局组或本地组，从全局组或本地添加或移除成员等等

672, 680

4768, 4776

成功用户帐号验证

当一个域用户帐号在域控制器认证时，生成用户帐号成功登录事件。

675, 681

4771, 4777

失败用户帐号验证

失败用户帐号登录事件，当一个域用户帐号在域控制器认证时 ，生成不成功用户帐号登录事件。

682, 683

4778, 4779

主机会话状态

会话重新连接或断开