Windows登錄日志詳解-創(chuàng)新互聯(lián)

摘要: 日志在很多時候是非常重要的，尤其是登錄日志。從登錄日志中可以發(fā)現(xiàn)很多有價值的信息，window2008及以后的日志基本一致，2003由于時間太長，微軟都停止更新了，所以重點介紹2008的登錄日志。

我們注重客戶提出的每個要求，我們充分考慮每一個細(xì)節(jié)，我們積極的做好成都網(wǎng)站制作、網(wǎng)站設(shè)計、外貿(mào)網(wǎng)站建設(shè)服務(wù)，我們努力開拓更好的視野，通過不懈的努力，創(chuàng)新互聯(lián)建站贏得了業(yè)內(nèi)的良好聲譽，這一切，也不斷的激勵著我們更好的服務(wù)客戶。主要業(yè)務(wù)：網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)站設(shè)計,微信小程序開發(fā),網(wǎng)站開發(fā),技術(shù)開發(fā)實力，DIV+CSS，PHP及ASP，ASP.Net，SQL數(shù)據(jù)庫的技術(shù)開發(fā)工程師。

一、 Windows登錄類型

Windows登錄類型對應(yīng)含義如下表：

類型ID	登錄方式	描述信息
2	Interactive	A user logged on to this computer at the console
3	Network	A user or computer logged on to this computer from the network
4	Batch	Batch logon type is used by batch servers, where processes might run on behalf of a user without the user’s direct intervention
5	Service	A service was started by the Service Control Manager
7	Unlock	This workstation was unlocked
8	NetworkCleartext	A user logged on to a network and the user password was passed to the authentication package in its unhashed (plain text) form. It is possible that the unhashed password was passed across the network, for example, when IIS performed basic authentication
9	NewCredentials	A caller (process, thread, or program) cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but it uses different credentials for other network connections.
10	RemoteInteractive	A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
11	CachedInteractive	A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials

登錄類型2：交互式登錄（Interactive）：就是指用戶在計算機(jī)的控制臺上進(jìn)行的登錄，也就是在本地鍵盤上進(jìn)行的登錄。

登錄類型3：網(wǎng)絡(luò)（Network）： 最常見的是訪問網(wǎng)絡(luò)共享文件夾或打印機(jī)。另外大多數(shù)情況下通過網(wǎng)絡(luò)登錄IIS時也被記為這種類型，但基本驗證方式的IIS登錄是個例外，它將被記為類型8。

登錄類型4：批處理（Batch） ：當(dāng)Windows運行一個計劃任務(wù)時，“計劃任務(wù)服務(wù)”將為這個任務(wù)首先創(chuàng)建一個新的登錄會話以便它能在此計劃任務(wù)所配置的用戶賬戶下運行，當(dāng)這種登錄出現(xiàn)時，Windows在日志中記為類型4，對于其它類型的工作任務(wù)系統(tǒng)，依賴于它的設(shè)計，也可以在開始工作時產(chǎn)生類型4的登錄事件，類型4登錄通常表明某計劃任務(wù)啟動，但也可能是一個惡意用戶通過計劃任務(wù)來猜測用戶密碼，這種嘗試將產(chǎn)生一個類型4的登錄失敗事件，但是這種失敗登錄也可能是由于計劃任務(wù)的用戶密碼沒能同步更改造成的，比如用戶密碼更改了，而忘記了在計劃任務(wù)中進(jìn)行更改。

登錄類型5：服務(wù)（Service） ：與計劃任務(wù)類似，每種服務(wù)都被配置在某個特定的用戶賬戶下運行，當(dāng)一個服務(wù)開始時，Windows首先為這個特定的用戶創(chuàng)建一個登錄會話，這將被記為類型5，失敗的類型5通常表明用戶的密碼已變而這里沒得到更新。

登錄類型7：解鎖（Unlock） ：很多公司都有這樣的安全設(shè)置：當(dāng)用戶離開屏幕一段時間后，屏保程序會鎖定計算機(jī)屏幕。解開屏幕鎖定需要鍵入用戶名和密碼。此時產(chǎn)生的日志類型就是Type 7。

登錄類型8：網(wǎng)絡(luò)明文（NetworkCleartext） ：通常發(fā)生在IIS 的 ASP登錄。不推薦。

登錄類型9：新憑證（NewCredentials） ：通常發(fā)生在RunAS方式運行某程序時的登錄驗證。

登錄類型10：遠(yuǎn)程交互（RemoteInteractive） ：通過終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計算機(jī)時，Windows將記為類型10，以便與真正的控制臺登錄相區(qū)別，注意XP之前的版本不支持這種登錄類型，比如Windows2000仍然會把終端服務(wù)登錄記為類型2。

登錄類型11：緩存交互（CachedInteractive） :在自己網(wǎng)絡(luò)之外以域用戶登錄而無法登錄域控制器時使用緩存登錄。默認(rèn)情況下，Windows緩存了最近10次交互式域登錄的憑證HASH，如果以后當(dāng)你以一個域用戶登錄而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請標(biāo)明出處，感謝！

二、常見登錄類型日志分析（以windows2008為例）

1、本地交互式登錄，也就是我們每天最常使用的登錄方式。

首先是成功的登錄，從日志分析來看至少會有2個事件發(fā)生，分別為ID4648、 4624，以下從上至下分別是各自的截圖。

審核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登錄

Windows登錄日志詳解

現(xiàn)在來分析下，首先是ID4648事件，該事件說明有人使用身份憑據(jù)在嘗試登錄，并且頭字段中的用戶名為SYSTEM?？纯疵枋鲂畔⒅杏惺裁矗?/p>

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 10:36:12

事件 ID: 4648

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O （目標(biāo)機(jī)器名）

說明:

試圖使用顯式憑據(jù)登錄。（說明有人在嘗試登錄）

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$（主機(jī)名加了$后綴）

帳戶域: WORKGROUP （主機(jī)的域名，此例中主機(jī)在名稱為“WORKGROUP”的工作組中）

登錄 ID: 0x3e7

登錄 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個帳戶的憑據(jù):

帳戶名: wrh（登錄使用的用戶名）

帳戶域: WIN-K7LDM0NKH6O （目標(biāo)帳戶域）

登錄 GUID: {00000000-0000-0000-0000-000000000000}

目標(biāo)服務(wù)器:

目標(biāo)服務(wù)器名: localhost

附加信息: localhost

進(jìn)程信息:

進(jìn)程 ID: 0xfb8

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

網(wǎng)絡(luò)地址: 127.0.0.1

端口: 0

接著是ID4624事件，看看描述信息：

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 10:36:12

事件 ID: 4624

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

已成功登錄帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$ （主機(jī)名加了$后綴）

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 2 （交互式登錄）

新登錄:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名: wrh （登錄的帳戶名稱）

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x51a72

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0xfb8

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 127.0.0.1

源端口: 0

詳細(xì)身份驗證信息:

登錄進(jìn)程: User32

身份驗證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長度: 0

接下來看看失敗的本地登錄。失敗登錄會產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登錄

Windows登錄日志詳解

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 10:35:13

事件 ID: 4625

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核失敗

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

帳戶登錄失敗。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x1f903

登錄類型: 2 （交互式登錄）

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: wrh （登錄的帳戶名稱）

帳戶域:

失敗信息:

失敗原因: 未知用戶名或密碼錯誤。（失敗原因）

狀態(tài): 0xc000006e

子狀態(tài): 0xc000006e

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0xec0

調(diào)用方進(jìn)程名: C:\Windows\System32\dllhost.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: -

源端口: -

詳細(xì)身份驗證信息:

登錄進(jìn)程: Advapi

身份驗證數(shù)據(jù)包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長度: 0

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請標(biāo)明出處，感謝！

2、使用RDP協(xié)議進(jìn)行遠(yuǎn)程登錄，這也是日常經(jīng)常遇到的情況。

使用mstsc遠(yuǎn)程登錄某個主機(jī)時，使用的帳戶是管理員帳戶的話，成功的情況下會有ID為4648、4624、4672的事件產(chǎn)生。首先是成功登錄，如下圖所示，從中可以看到ID為4624，審核成功，登錄類型為10（遠(yuǎn)程交互）。并且描述信息中的主機(jī)名（源工作站）仍為被嘗試登錄主機(jī)的主機(jī)名，而不是源主機(jī)名。

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登錄

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登錄

Windows登錄日志詳解

現(xiàn)在來分析下，首先是ID4648事件，該事件說明有人使用身份憑據(jù)在嘗試登錄，并且頭字段中的用戶名為SYSTEM?？纯疵枋鲂畔⒅杏惺裁矗?/p>

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:57:55

事件 ID: 4648

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

試圖使用顯式憑據(jù)登錄。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個帳戶的憑據(jù):

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 GUID: {00000000-0000-0000-0000-000000000000}

目標(biāo)服務(wù)器:

目標(biāo)服務(wù)器名: localhost

附加信息: localhost

進(jìn)程信息:

進(jìn)程 ID: 0xb3c

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

網(wǎng)絡(luò)地址: 192.168.0.122 （源主機(jī)IP地址）

端口: 10898 （源主機(jī)端口）

接著是ID4624事件，看看描述信息：

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:57:55

事件 ID: 4624

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

已成功登錄帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 10

新登錄:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0xa93db

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0xb3c

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10898

詳細(xì)身份驗證信息:

登錄進(jìn)程: User32

身份驗證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長度: 0

從這里可以看出和本地登錄至少有3個地方不一樣，首先登錄類型的ID為10，說明是遠(yuǎn)程交互式登錄，其次是源網(wǎng)絡(luò)地址和源端口。

再來看看ID4672，特殊登錄事件：

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:57:55

事件 ID: 4672

任務(wù)類別: 特殊登錄

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

為新登錄分配了特殊權(quán)限。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0xa93db

特權(quán): SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

所有為登錄進(jìn)程分配特殊權(quán)限的操作都屬于“特殊登錄”事件。特殊權(quán)限是指，帳戶域WIN-K7LDM0NKH6O下的所有特權(quán)帳戶，用戶無法使用這些特權(quán)帳戶登錄系統(tǒng)，這些帳戶是留給系統(tǒng)服務(wù)進(jìn)程執(zhí)行特權(quán)操作用的。

接下來看看失敗的RDP協(xié)議登錄。失敗登錄會產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 16:57:50 Microsoft Windows security auditing. 4625 登錄

Windows登錄日志詳解

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:57:50

事件 ID: 4625

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核失敗

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

帳戶登錄失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 10

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0xb3c

調(diào)用方進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10898

詳細(xì)身份驗證信息:

登錄進(jìn)程: User32

身份驗證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長度: 0

使用不存在的用戶名和錯誤密碼分別登錄失敗，ID為4625，登錄類型為10（遠(yuǎn)程交互）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請標(biāo)明出處，感謝！

3、遠(yuǎn)程訪問某臺主機(jī)的共享資源，如某個共享文件夾。

首先是使用正確的用戶名和密碼訪問遠(yuǎn)程共享主機(jī)，登錄事件ID為4624，登錄類型為3（Network），審核成功。列出了源網(wǎng)絡(luò)地址和端口。

審核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登錄

Windows登錄日志詳解

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:14:15

事件 ID: 4624

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

已成功登錄帳戶。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登錄 ID: 0x0

登錄類型: 3

新登錄:

安全 ID: ANONYMOUS LOGON

帳戶名: ANONYMOUS LOGON

帳戶域: NT AUTHORITY

登錄 ID: 0x6ae53

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0x0

進(jìn)程名: -

網(wǎng)絡(luò)信息:

工作站名: CHINA-CE675F3BC

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10234

詳細(xì)身份驗證信息:

登錄進(jìn)程: NtLmSsp

身份驗證數(shù)據(jù)包: NTLM

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): NTLM V1

密鑰長度: 0

如果訪問共享資源使用的帳戶名、密碼正確，但是該用戶對指定的共享文件夾沒有訪問權(quán)限時仍然會有ID為4624的認(rèn)證成功事件產(chǎn)生。

接下來的是事件ID為5140的文件共享日志，顯示了訪問的共享文件夾名稱。

審核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

Windows登錄日志詳解

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:14:15

事件 ID: 5140

任務(wù)類別: 文件共享

級別: 信息

關(guān)鍵字: 審核成功

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

已訪問網(wǎng)絡(luò)共享對象。

主題:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名稱: wrh

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x6ae28

網(wǎng)絡(luò)信息:

源地址: 192.168.0.122

源端口: 10234

共享名稱: \\*\wrh

再來看看共享訪問登錄失敗事件ID4625的日志信息：

審核失敗 2016/9/23 15:15:12 Microsoft Windows security auditing. 4625 登錄

Windows登錄日志詳解

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 15:15:12

事件 ID: 4625

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核失敗

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

帳戶登錄失敗。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登錄 ID: 0x0

登錄類型: 3

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0x0

調(diào)用方進(jìn)程名: -

網(wǎng)絡(luò)信息:

工作站名: CHINA-CE675F3BC

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 9323

詳細(xì)身份驗證信息:

登錄進(jìn)程: NtLmSsp

身份驗證數(shù)據(jù)包: NTLM

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長度: 0

同RDP協(xié)議遠(yuǎn)程登錄，使用不存在的用戶名和錯誤密碼分別登錄失敗，ID為4625，登錄類型為3（網(wǎng)絡(luò)）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

4、解鎖登錄

解鎖登錄和遠(yuǎn)程登錄一樣，成功的情況下會有ID為4648、4624、4672的事件產(chǎn)生。首先是成功登錄，如下圖所示，從中可以看到ID為4624，審核成功，登錄類型為7（Unlock）。

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登錄

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登錄

Windows登錄日志詳解

接下來看看失敗的解鎖登錄。同樣，失敗登錄會產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 16:28:35 Microsoft Windows security auditing. 4625 登錄

Windows登錄日志詳解

日志名稱: Security

來源: Microsoft-Windows-Security-Auditing

日期: 2016/9/23 16:28:35

事件 ID: 4625

任務(wù)類別: 登錄

級別: 信息

關(guān)鍵字: 審核失敗

用戶: 暫缺

計算機(jī): WIN-K7LDM0NKH6O

說明:

帳戶登錄失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 7

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0x204

調(diào)用方進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10156

詳細(xì)身份驗證信息:

登錄進(jìn)程: User32

身份驗證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長度: 0

同樣，使用不存在的用戶名和錯誤密碼分別登錄失敗，ID為4625，登錄類型為7（unlock）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

最后我們總結(jié)一下“審計登錄”事件：

· 在進(jìn)程嘗試通過顯式指定帳戶的憑據(jù)來登錄該帳戶時生成4648事件。

· 成功的登錄通常會有4624事件產(chǎn)生，在創(chuàng)建登錄會話后在被訪問的計算機(jī)上生成此事件。

· 如果用戶有特權(quán)會有4672事件產(chǎn)生。

· 通常情況下只需關(guān)注登錄類型為2、3、7、10類型的4625登錄失敗事件。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請標(biāo)明出處，感謝！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

新聞名稱：Windows登錄日志詳解-創(chuàng)新互聯(lián)
新聞來源：http://muchs.cn/article48/dpsoep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、手機(jī)網(wǎng)站建設(shè)、搜索引擎優(yōu)化、網(wǎng)站營銷、定制網(wǎng)站、商城網(wǎng)站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

Windows登錄日志詳解-創(chuàng)新互聯(lián)

一、 Windows登錄類型

二、 常見登錄類型日志分析（以windows2008為例）

1、本地交互式登錄，也就是我們每天最常使用的登錄方式。

2、使用RDP協(xié)議進(jìn)行遠(yuǎn)程登錄，這也是日常經(jīng)常遇到的情況。

3、遠(yuǎn)程訪問某臺主機(jī)的共享資源，如某個共享文件夾。

4、解鎖登錄

一、 Windows登錄類型

二、常見登錄類型日志分析（以windows2008為例）

1、本地交互式登錄，也就是我們每天最常使用的登錄方式。

2、使用RDP協(xié)議進(jìn)行遠(yuǎn)程登錄，這也是日常經(jīng)常遇到的情況。

3、遠(yuǎn)程訪問某臺主機(jī)的共享資源，如某個共享文件夾。

4、解鎖登錄