Windows登录安全日志分析
发布时间:2021-12-16 19:21:26 所属栏目:系统 来源:互联网
导读:************************************************************************* 通过终端登录服务器的日志(管理员帐号登录) ************************************************************************* 2006-5-9 8:24:01 Security 成功审核 登录/注销 528
|
'************************************************************************* ' 通过终端登录服务器的日志(管理员帐号登录) '************************************************************************* 2006-5-9 8:24:01 Security 成功审核 登录/注销 528 COMPUTERNAMEclientUserName COMPUTERNAME "登录成功: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0x17F4C31B) 登录类型: 2 登录过程: User32 身份验证程序包: Negotiate 工作站名: COMPUTERNAME " 2006-5-9 8:24:01 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 帐户名: clientUserName 工作站: COMPUTERNAME " 2006-5-9 8:23:44 Security 成功审核 系统事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 登录过程名: WinlogonMSGina " '************************************************************************* ' AT计划IIS服务重启(脚本)安全日志(IUSR_COMPUTERNAME) '************************************************************************* 2006-5-9 7:00:34 Security 成功审核 登录/注销 540 COMPUTERNAMEIUSR_COMPUTERNAME COMPUTERNAME "成功的网络登录: 用户名: IUSR_COMPUTERNAME 域: COMPUTERNAME 登录 ID: (0x0,0x17BF45CB) 登录类型: 3 登录过程: IIS 身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 工作站名: COMPUTERNAME " 2006-5-9 7:00:34 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 帐户名: IUSR_COMPUTERNAME 工作站: COMPUTERNAME " 2006-5-9 7:00:34 Security 成功审核 系统事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 登录过程名: inetinfo.exe " 2006-5-9 7:00:16 Security 成功审核 登录/注销 538 COMPUTERNAMEIUSR_COMPUTERNAME COMPUTERNAME "用户注销: 用户名: IUSR_COMPUTERNAME 域: COMPUTERNAME 登录 ID: (0x0,0x158DFFBF) 登录类型: 3 " '************************************************************************* ' 计划任务运行程序日志(管理员帐号) '************************************************************************* 2006-5-9 1:08:04 Security 成功审核 登录/注销 538 COMPUTERNAMEclientUserName COMPUTERNAME "用户注销: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0x167C8DC4) 登录类型: 4 " 2006-5-9 1:00:00 Security 成功审核 登录/注销 528 COMPUTERNAMEclientUserName COMPUTERNAME "登录成功: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0x167C8DC4) 登录类型: 4 登录过程: Advapi 身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 工作站名: COMPUTERNAME " 2006-5-9 1:00:00 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 帐户名: clientUserName 工作站: COMPUTERNAME " '************************************************************************* ' 从服务器断开后重新连接到服务器 '************************************************************************* 2006-5-4 19:24:24 Security 成功审核 登录/注销 682 COMPUTERNAMEclientUserName COMPUTERNAME "会话被重新连接到 winstation: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0x37A9068) 会话名称: RDP-Tcp#3 客户端名: 客户端名(计算机名) 客户端地址: 客户端地址(IP) " 2006-5-4 19:24:23 Security 成功审核 登录/注销 683 COMPUTERNAMEclientUserName COMPUTERNAME "会话从 winstation 中断连接: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0xA28751E) 会话名称: Unknown 客户端名: 客户端名(计算机名) 客户端地址: 客户端地址(IP) " 2006-5-4 19:24:20 Security 成功审核 登录/注销 528 COMPUTERNAMEclientUserName COMPUTERNAME "登录成功: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0xA28751E) 登录类型: 2 登录过程: User32 身份验证程序包: Negotiate 工作站名: COMPUTERNAME " 2006-5-4 19:24:20 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 帐户名: clientUserName 工作站: COMPUTERNAME " 2006-5-4 19:23:58 Security 成功审核 系统事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 登录过程名: WinlogonMSGina " 2006-5-4 19:22:34 Security 成功审核 登录/注销 683 COMPUTERNAMEclientUserName COMPUTERNAME "会话从 winstation 中断连接: 用户名: clientUserName 域: COMPUTERNAME 登录 ID: (0x0,0x37A9068) 会话名称: Unknown 客户端名: 客户端名(计算机名) 客户端地址: 客户端地址(IP) " '************************************************************************* ' 通过Net User/Net LocalGroup等命令添加用户帐号,加入指定组,删除帐号(Win2K3) '************************************************************************* 2006-5-9 9:23:06 Security 审核成功 帐户管理 630 COMPUTERNAMEclientUserName COMPUTERNAME "删除了用户帐户: 目标帐户名称: mytest 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMEmytest 调用方用户名: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " 2006-5-9 9:23:06 Security 审核成功 帐户管理 633 COMPUTERNAMEclientUserName COMPUTERNAME "删除了启用安全的全局组成员: 成员名称: - 成员ID: COMPUTERNAMEmytest 目标帐户名称: None 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMENone 调用方用户名称: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " 2006-5-9 9:23:06 Security 审核成功 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了启用安全的本地组: 成员名称: - 成员 ID: COMPUTERNAMEmytest 目标帐户名称: Administrators 目标域: Builtin 目标帐户 ID: BUILTINAdministrators 调用方用户名称: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " 2006-5-9 9:23:06 Security 审核成功 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了启用安全的本地组: 成员名称: - 成员 ID: COMPUTERNAMEmytest 目标帐户名称: Users 目标域: Builtin 目标帐户 ID: BUILTINUsers 调用方用户名称: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " 2006-5-9 9:21:24 Security 审核成功 帐户管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了启用安全的本地组成员: 成员名称: - 成员ID: COMPUTERNAMEmytest 目标帐户名称: Administrators 目标域: Builtin 目标帐户 ID: BUILTINAdministrators 调用方用户名称: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " 2006-5-9 9:17:13 Security 审核成功 帐户管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了启用安全的本地组成员: 成员名称: - 成员ID: COMPUTERNAMEmytest 目标帐户名称: Users 目标域: Builtin 目标帐户 ID: BUILTINUsers 调用方用户名称: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " 2006-5-9 9:17:13 Security 审核成功 帐户管理 628 COMPUTERNAMEclientUserName COMPUTERNAME "设置了用户帐户密码: 目标帐户名: mytest 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMEmytest 调用方用户名: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) " 2006-5-9 9:17:13 Security 审核成功 帐户管理 642 COMPUTERNAMEclientUserName COMPUTERNAME "更改了用户帐户: 目标帐户名称: mytest 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMEmytest 调用方用户名: clientUserName 调用方所属域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - 更改的属性: SAM 帐户名称: mytest 显示名称: <未设置值> 用户主要名称: - 主目录: <未设置值> 主驱动器: <未设置值> 脚本路径: <未设置值> 配置文件路径: <未设置值> 用户工作站: <未设置值> 上一次设置的密码: 2006-5-9 9:17:13 帐户过期: <从不> 主要组 ID: 513 AllowedToDelegateTo: - 旧 UAC 值: 0x9C498 新 UAC 值: 0x9C498 用户帐户控制: - 用户参数: - Sid 历史: - 登录时间(以小时计): <值已更改,但未显示> " 2006-5-9 9:17:13 Security 审核成功 帐户管理 626 COMPUTERNAMEclientUserName COMPUTERNAME "启用了用户帐户: 目标帐户名: mytest 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMEmytest 调用方用户名: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) " 2006-5-9 9:17:13 Security 审核成功 帐户管理 624 COMPUTERNAMEclientUserName COMPUTERNAME "创建了用户帐户: 新的帐户名: mytest 新域: COMPUTERNAME 新帐户标识: COMPUTERNAMEmytest 调用方用户名: clientUserName 调用方域: COMPUTERNAME %调用方登录 ID: (0x0,0x2363D) 特权: - 属性: SAM 帐户名称: mytest 显示名称: <未设置值> 用户主要名称: - 主目录: <未设置值> 主驱动器: <未设置值> 脚本路径: <未设置值> 配置文件路径: <未设置值> 用户工作站: <未设置值> 上一次设置的密码: <从不> 帐户过期: <从不> 主要组 ID: 513 AllowedToDelegateTo: - 旧 UAC 值: 0x9C498 新 UAC 值: 0x9C498 用户帐户控制: - 用户参数: <未设置值> Sid 历史: - 登录时间: <值已更改,但未显示> " 2006-5-9 9:17:13 Security 审核成功 帐户管理 632 COMPUTERNAMEclientUserName COMPUTERNAME "添加了启用安全的全局组成员: 成员名称: - 成员 ID: COMPUTERNAMEmytest 目标帐户名称: None 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMENone 调用方用户名称: clientUserName 调用方域: COMPUTERNAME 调用方登录 ID: (0x0,0x2363D) 特权: - " '**************************************************************** ' Windows 2000 '**************************************************************** 2006-5-9 10:01:38 Security 成功审核 帐户管理 630 COMPUTERNAMEclientUserName COMPUTERNAME "删除了用户帐户: 目标帐户名称: mytest 目标域: COMPUTERNAME 目标帐户 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005} 呼叫方用户名: clientUserName 呼叫方所属域: COMPUTERNAME 呼叫方登录 ID: (0x0,0x17F4C31B) 特权: - " 2006-5-9 10:01:38 Security 成功审核 帐户管理 633 COMPUTERNAMEclientUserName COMPUTERNAME "删除了安全策略启动的全局组成员: 成员名称: - 成员ID: %{S-1-5-21-1220945662-1326574676-725345543-1005} 目标帐户名称: None 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMENone 呼叫用户名称: clientUserName 呼叫域: COMPUTERNAME 呼叫者登录 ID: (0x0,0x17F4C31B) 特权: - " 2006-5-9 10:01:38 Security 成功审核 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了安全策略启动的本地组: 成员名称: - 成员 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005} 目标帐户名称: Administrators 目标域: Builtin 目标帐户 ID: BUILTINAdministrators 呼叫用户名称: clientUserName 呼叫域: COMPUTERNAME 呼叫者登录 ID: (0x0,0x17F4C31B) 特权: - " 2006-5-9 10:01:38 Security 成功审核 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了安全策略启动的本地组: 成员名称: - 成员 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005} 目标帐户名称: Users 目标域: Builtin 目标帐户 ID: BUILTINUsers 呼叫用户名称: clientUserName 呼叫域: COMPUTERNAME 呼叫者登录 ID: (0x0,0x17F4C31B) 特权: - 2006-5-9 10:00:35 Security 成功审核 帐户管理 624 COMPUTERNAMEclientUserName COMPUTERNAME "创建了用户帐户: 新的帐户名: mytest 新域: COMPUTERNAME 新帐户标识: %{S-1-5-21-1220945662-1326574676-725345543-1005} 呼叫方用户名: clientUserName 呼叫方所属域: COMPUTERNAME %呼叫方登录 ID: (0x0,0x17F4C31B) 特权 - " 2006-5-9 10:00:35 Security 成功审核 帐户管理 632 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略启动的全局组成员: 成员名称: - 成员 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005} 目标帐户名称: None 目标域: COMPUTERNAME 目标帐户 ID: COMPUTERNAMENone 呼叫用户名称: clientUserName 呼叫域: COMPUTERNAME 呼叫者登录 ID: (0x0,0x17F4C31B) 特权: - (编辑:好传媒网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
