Windows安全日志
程序员文章站
2023-01-02 15:17:12
在运行中输入:eventvwr.msc,即可打开事件日志。 常见的Windows事件ID说明 Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下举出的事件ID的操纵系统为Vista/ ......
在运行中输入:eventvwr.msc,即可打开事件日志。
登录类型 | 描述 |
2 | 互动(键盘和屏幕的登录系统) |
3 | 网络(即连接到共享文件夹从其他地方在这台电脑上网络) |
4 | 批处理(即计划任务) |
5 | 服务(服务启动 ) |
7 | 解锁密码保护屏幕保护程序(即unnattended工作站) |
8 | networkcleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到iis) |
9 | newcredentials如runas或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件 |
10 | 终端服务,远程桌面或远程协助 |
11 | cachedinteractive(与缓存域登录凭证时登录一台笔记本电脑等远程网络 |
常见的windows事件id说明
windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的id与操作系统的版本有关,以下举出的事件id的操纵系统为vista/win7/win8/win10/server2008/server2012之后的版本
事件id | 说明 |
1102 | 清理审计日志 |
4624 | 账号成功登陆 |
4625 | 账号登录失败 |
4768 | kerberos身份验证(tgt请求) |
4769 | kerberos服务票证请求 |
4776 | ntlm身份验证 |
4720 | 创建用户 |
4726 | 删除用户 |
4728 | 将成员添加到启用安全的全局组中 |
4729 | 将成员从安全的全剧组中移除 |
4732 | 将成员添加到启用安全的本地组中 |
4733 | 将成员从启用安全的本地组中移除 |
4756 | 将成员添加到启用安全的通用组中 |
4757 | 将成员从启用安全的通用组中移除 |
4719 | 系统审计策略修改 |
推荐阅读
-
PHP输出英文时间日期的安全方法(RFC 1123格式)
-
基于linux与windows平台下 如何下载android sdk源代码的方法详解
-
Android的日志系统分层与logcat使用
-
PHP开发api接口安全验证的实例讲解
-
windows环境下使用Composer安装ThinkPHP5
-
Windows7压缩文件到最小的方法
-
在Python中过滤Windows文件名中的非法字符方法
-
ASP.NET中Webservice安全 实现访问权限控制
-
ASP.NET中基于soaphead的webservice安全机制
-
win10系统玩极限竞速6闪屏怎么办?windows10系统玩极限竞速6闪屏的多种解决方法