Windows 日誌安全審核

2021-06-29 16:20:18 字數 2045 閱讀 1816

windows logon type的含義

我只是把主要的內容整理了一下備查。

logon type 2 interactive  本地互動登入。最常見的登入方式。

logon type 3 network 網路登入 - 最常見的是訪問網路共享資料夾或印表機。iis的認證也是type 3

logon type 4 batch 計畫任務

logon type 5 service 服務

某些服務是用乙個域帳號來執行的,出現failure常見的情況是管理員更改了域帳號密碼,但是忘記重設service中的帳號密碼。

logon type 7 unlock 解除螢幕鎖定

很多公司都有這樣的安全設定:當使用者離開螢幕一段時間後,屏保程式會鎖定計算機螢幕。解開螢幕鎖定需要鍵入使用者名稱和密碼。此時產生的日誌型別就是type 7

logon type 8 networkcleartext 網路明文登入 -- 通常發生在iis 的 asp登入。不推薦

logon type 9 newcredentials 新身份登入 -- 通常發生在runas方式執行某程式時的登入驗證。

logon type 10 remoteinteractive 遠端登入 -- 比如terminal service或者rdp方式。但是windows 2000是沒有type10的,用type 2。windowsxp/2003起有type 10

logon type 11 cachedinteractive 快取登入

為方便膝上型電腦使用者,windows會快取前10次成功登入的登入。

windows 

事件 id

windows 2008 事件 id

事件型別

描述512, 513, 514, 515, 516, 518, 519, 520

4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616

系統事件

本地系統程序,例如系統啟動,關閉和系統時間的改變。

517

4612

清除的審計日誌

所有審計日誌清除事件

528, 540

4624

成功使用者登入

所有使用者登入事件

529, 530, 531, 532, 533, 534, 535, 536, 537 539

4625

登入失敗

所有使用者登入失敗事件

538

4634

成功使用者退出

所有使用者退出事件

560, 562, 563, 564, 565, 566, 567, 568

4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664

物件訪問

當訪問一給定的物件(檔案,目錄等) 訪問的型別(例如讀,寫,刪除) ,訪問是否成功或失敗,誰實施了這一行為

612

4719

審計政策改變

審計政策的改變

624, 625, 626, 627, 628, 629, 630, 642, 644

4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740

使用者帳號改變

使用者帳號的改變,像使用者帳號建立,刪除,改變密碼等等

(631 to 641) and (643, 645 to 666)

4727 to 4737, 4739 to 4762

使用者組改變

對乙個使用者組的所有改變,例如新增或移除乙個全域性組或本地組,從全域性組或本地新增或移除成員等等

672, 680

4768, 4776

成功使用者帳號驗證

當乙個域使用者帳號在域控制器認證時,生成使用者帳號成功登入事件。

675, 681

4771, 4777

失敗使用者帳號驗證

失敗使用者帳號登入事件,當乙個域使用者帳號在域控制器認證時 ,生成不成功使用者帳號登入事件。

682, 683

4778, 4779

主機會話狀態

會話重新連線或斷開

Citrix Xenserver 審核日誌事件

審核日誌報告會記錄 xenserver 事件 事件物件和操作,包括匯入 匯出 主機和池備份以及來賓和主機控制台訪問。下表定義了 xenserver 審核日誌和池審核追蹤報告中經常出現的典型事件,它還指定了這些事件的精度。在池審核追蹤報告中,事件操作 列中列出的事件適用於池 vm 或主機。要確定事件應...

Citrix Xenserver 審核日誌事件

審核日誌報告會記錄 xenserver 事件 事件物件和操作,包括匯入 匯出 主機和池備份以及來賓和主機控制台訪問。下表定義了 xenserver 審核日誌和池審核追蹤報告中經常出現的典型事件,它還指定了這些事件的精度。在池審核追蹤報告中,事件操作 列中列出的事件適用於池 vm 或主機。要確定事件應...

Windows安全日誌事件

每乙個失敗的嘗試登入本地計算機無論登入型別 使用者的位置或型別的帳戶。主題 標識要求的賬戶登入的使用者 而不是只是嘗試登入。主題通常是 null 或服務主體之一 通常不會有用的資訊。看到剛剛 loffed 新登入到系統中。登入型別 這是乙個有價值的資訊 因為它告訴你使用者登入 登入型別 描述2互動 ...