首頁(yè) > 服務(wù)器 > Win服務(wù)器 > 正文

Windows登錄安全日志解析

2020-10-03 18:02:08
字體:
來(lái)源:轉載
供稿:網(wǎng)友

'*************************************************************************
' 通過(guò)終端登錄服務(wù)器的日志(管理員帳號登錄)
'*************************************************************************
2006-5-9    8:24:01    Security    成功審核    登錄/注銷(xiāo)     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登錄成功:
     用戶(hù)名:     clientUserName
     域:         COMPUTERNAME
     登錄 ID:         (0x0,0x17F4C31B)
     登錄類(lèi)型:     2
     登錄過(guò)程:     User32  
     身份驗證程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-9    8:24:01    Security    成功審核    帳戶(hù)登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶(hù): MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帳戶(hù)名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-9    8:23:44    Security    成功審核    系統事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登錄過(guò)程已經(jīng)在本地安全機制機構注冊。 將信任這個(gè)登錄過(guò)程來(lái)提交登錄申請。 
 
 登錄過(guò)程名:     WinlogonMSGina "


'*************************************************************************
' AT計劃IIS服務(wù)重啟(腳本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
2006-5-9    7:00:34    Security    成功審核    登錄/注銷(xiāo)     540    COMPUTERNAMEIUSR_COMPUTERNAME    COMPUTERNAME    "成功的網(wǎng)絡(luò )登錄:
     用戶(hù)名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登錄 ID:        (0x0,0x17BF45CB)
     登錄類(lèi)型:    3
     登錄過(guò)程:    IIS     
     身份驗證程序包:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:    COMPUTERNAME "
2006-5-9    7:00:34    Security    成功審核    帳戶(hù)登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶(hù): MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帳戶(hù)名: 
     IUSR_COMPUTERNAME
 工作站: 
     COMPUTERNAME
 "
2006-5-9    7:00:34    Security    成功審核    系統事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登錄過(guò)程已經(jīng)在本地安全機制機構注冊。 將信任這個(gè)登錄過(guò)程來(lái)提交登錄申請。 
 
 登錄過(guò)程名:     inetinfo.exe "
2006-5-9    7:00:16    Security    成功審核    登錄/注銷(xiāo)     538    COMPUTERNAMEIUSR_COMPUTERNAME    COMPUTERNAME    "用戶(hù)注銷(xiāo):
     用戶(hù)名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登錄 ID:        (0x0,0x158DFFBF)
     登錄類(lèi)型:    3
 "


'*************************************************************************
' 計劃任務(wù)運行程序日志(管理員帳號)
'*************************************************************************
2006-5-9    1:08:04    Security    成功審核    登錄/注銷(xiāo)     538    COMPUTERNAMEclientUserName    COMPUTERNAME    "用戶(hù)注銷(xiāo):
     用戶(hù)名:    clientUserName
     域:        COMPUTERNAME
     登錄 ID:        (0x0,0x167C8DC4)
     登錄類(lèi)型:    4
 "
2006-5-9    1:00:00    Security    成功審核    登錄/注銷(xiāo)     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登錄成功:
     用戶(hù)名:     clientUserName
     域:         COMPUTERNAME
     登錄 ID:         (0x0,0x167C8DC4)
     登錄類(lèi)型:     4
     登錄過(guò)程:     Advapi  
     身份驗證程序包:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:     COMPUTERNAME "
2006-5-9    1:00:00    Security    成功審核    帳戶(hù)登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶(hù): MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帳戶(hù)名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "


'*************************************************************************
' 從服務(wù)器斷開(kāi)后重新連接到服務(wù)器
'*************************************************************************
2006-5-4    19:24:24    Security    成功審核    登錄/注銷(xiāo)     682    COMPUTERNAMEclientUserName    COMPUTERNAME    "會(huì )話(huà)被重新連接到 winstation:
     用戶(hù)名:    clientUserName
     域:        COMPUTERNAME
     登錄 ID:        (0x0,0x37A9068)
     會(huì )話(huà)名稱(chēng):    RDP-Tcp#3
     客戶(hù)端名:    客戶(hù)端名(計算機名)
     客戶(hù)端地址:    客戶(hù)端地址(IP) "
2006-5-4    19:24:23    Security    成功審核    登錄/注銷(xiāo)     683    COMPUTERNAMEclientUserName    COMPUTERNAME    "會(huì )話(huà)從 winstation 中斷連接:
     用戶(hù)名:    clientUserName
     域:        COMPUTERNAME
     登錄 ID:        (0x0,0xA28751E)
     會(huì )話(huà)名稱(chēng):    Unknown
     客戶(hù)端名:    客戶(hù)端名(計算機名)
     客戶(hù)端地址:    客戶(hù)端地址(IP) "
2006-5-4    19:24:20    Security    成功審核    登錄/注銷(xiāo)     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登錄成功:
     用戶(hù)名:     clientUserName
     域:         COMPUTERNAME
     登錄 ID:         (0x0,0xA28751E)
     登錄類(lèi)型:     2
     登錄過(guò)程:     User32  
     身份驗證程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-4    19:24:20    Security    成功審核    帳戶(hù)登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶(hù): MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帳戶(hù)名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-4    19:23:58    Security    成功審核    系統事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登錄過(guò)程已經(jīng)在本地安全機制機構注冊。 將信任這個(gè)登錄過(guò)程來(lái)提交登錄申請。 
 
 登錄過(guò)程名:     WinlogonMSGina "
2006-5-4    19:22:34    Security    成功審核    登錄/注銷(xiāo)     683    COMPUTERNAMEclientUserName    COMPUTERNAME    "會(huì )話(huà)從 winstation 中斷連接:
     用戶(hù)名:    clientUserName
     域:        COMPUTERNAME
     登錄 ID:        (0x0,0x37A9068)
     會(huì )話(huà)名稱(chēng):    Unknown
     客戶(hù)端名:    客戶(hù)端名(計算機名)
     客戶(hù)端地址:    客戶(hù)端地址(IP) "


'*************************************************************************
' 通過(guò)Net User/Net LocalGroup等命令添加用戶(hù)帳號,加入指定組,刪除帳號(Win2K3)
'*************************************************************************
2006-5-9    9:23:06    Security    審核成功    帳戶(hù)管理     630    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了用戶(hù)帳戶(hù):
     目標帳戶(hù)名稱(chēng):    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMEmytest
     調用方用戶(hù)名:    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"
2006-5-9    9:23:06    Security    審核成功    帳戶(hù)管理     633    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了啟用安全的全局組成員:
     成員名稱(chēng):    -
     成員ID:    COMPUTERNAMEmytest
     目標帳戶(hù)名稱(chēng):    None
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMENone
     調用方用戶(hù)名稱(chēng):    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"
2006-5-9    9:23:06    Security    審核成功    帳戶(hù)管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了啟用安全的本地組:
     成員名稱(chēng):    -
     成員 ID:    COMPUTERNAMEmytest
     目標帳戶(hù)名稱(chēng):    Administrators
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINAdministrators
     調用方用戶(hù)名稱(chēng):    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"
2006-5-9    9:23:06    Security    審核成功    帳戶(hù)管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了啟用安全的本地組:
     成員名稱(chēng):    -
     成員 ID:    COMPUTERNAMEmytest
     目標帳戶(hù)名稱(chēng):    Users
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINUsers
     調用方用戶(hù)名稱(chēng):    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"
2006-5-9    9:21:24    Security    審核成功    帳戶(hù)管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了啟用安全的本地組成員:
     成員名稱(chēng):    -
     成員ID:    COMPUTERNAMEmytest
     目標帳戶(hù)名稱(chēng):    Administrators
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINAdministrators
     調用方用戶(hù)名稱(chēng):    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"
2006-5-9    9:17:13    Security    審核成功    帳戶(hù)管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了啟用安全的本地組成員:
     成員名稱(chēng):    -
     成員ID:    COMPUTERNAMEmytest
     目標帳戶(hù)名稱(chēng):    Users
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINUsers
     調用方用戶(hù)名稱(chēng):    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"
2006-5-9    9:17:13    Security    審核成功    帳戶(hù)管理     628    COMPUTERNAMEclientUserName    COMPUTERNAME    "設置了用戶(hù)帳戶(hù)密碼:
     目標帳戶(hù)名:    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMEmytest
     調用方用戶(hù)名:    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    審核成功    帳戶(hù)管理     642    COMPUTERNAMEclientUserName    COMPUTERNAME    "更改了用戶(hù)帳戶(hù):
     目標帳戶(hù)名稱(chēng):    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMEmytest
     調用方用戶(hù)名:    clientUserName
     調用方所屬域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:        -
 更改的屬性:
     SAM 帳戶(hù)名稱(chēng):    mytest
     顯示名稱(chēng):    <未設置值> 
     用戶(hù)主要名稱(chēng):    -
     主目錄:    <未設置值> 
     主驅動(dòng)器:    <未設置值> 
     腳本路徑:    <未設置值> 
     配置文件路徑:    <未設置值> 
     用戶(hù)工作站:    <未設置值> 
     上一次設置的密碼:    2006-5-9 9:17:13
     帳戶(hù)過(guò)期:    <從不> 
     主要組 ID:    513
     AllowedToDelegateTo:    -
     舊 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用戶(hù)帳戶(hù)控制:    -
     用戶(hù)參數:    -
     Sid 歷史:    -
     登錄時(shí)間(以小時(shí)計):    <值已更改,但未顯示> 
"
2006-5-9    9:17:13    Security    審核成功    帳戶(hù)管理     626    COMPUTERNAMEclientUserName    COMPUTERNAME    "啟用了用戶(hù)帳戶(hù):
     目標帳戶(hù)名:    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMEmytest
     調用方用戶(hù)名:    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    審核成功    帳戶(hù)管理     624    COMPUTERNAMEclientUserName    COMPUTERNAME    "創(chuàng )建了用戶(hù)帳戶(hù):
     新的帳戶(hù)名:    mytest
     新域:    COMPUTERNAME
     新帳戶(hù)標識:    COMPUTERNAMEmytest
     調用方用戶(hù)名:    clientUserName
     調用方域:    COMPUTERNAME
 %調用方登錄 ID:    (0x0,0x2363D)
     特權:        -
 屬性:
     SAM 帳戶(hù)名稱(chēng):    mytest
     顯示名稱(chēng):    <未設置值> 
     用戶(hù)主要名稱(chēng):    -
     主目錄:    <未設置值> 
     主驅動(dòng)器:    <未設置值> 
     腳本路徑:    <未設置值> 
     配置文件路徑:    <未設置值> 
     用戶(hù)工作站:    <未設置值> 
     上一次設置的密碼:    <從不> 
     帳戶(hù)過(guò)期:    <從不> 
     主要組 ID:    513
     AllowedToDelegateTo:    -
     舊 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用戶(hù)帳戶(hù)控制:    -
     用戶(hù)參數:    <未設置值> 
     Sid 歷史:    -
     登錄時(shí)間:    <值已更改,但未顯示> 
"
2006-5-9    9:17:13    Security    審核成功    帳戶(hù)管理     632    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了啟用安全的全局組成員:
     成員名稱(chēng):    -
     成員 ID:    COMPUTERNAMEmytest
     目標帳戶(hù)名稱(chēng):    None
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMENone
     調用方用戶(hù)名稱(chēng):    clientUserName
     調用方域:    COMPUTERNAME
     調用方登錄 ID:    (0x0,0x2363D)
     特權:    -
"

'****************************************************************
' Windows 2000
'****************************************************************
2006-5-9    10:01:38    Security    成功審核    帳戶(hù)管理     630    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了用戶(hù)帳戶(hù):
     目標帳戶(hù)名稱(chēng):    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用戶(hù)名:    clientUserName
     呼叫方所屬域:    COMPUTERNAME
     呼叫方登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:01:38    Security    成功審核    帳戶(hù)管理     633    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了安全策略啟動(dòng)的全局組成員:
     成員名稱(chēng):    -
     成員ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目標帳戶(hù)名稱(chēng):    None
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMENone
     呼叫用戶(hù)名稱(chēng):    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:01:38    Security    成功審核    帳戶(hù)管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了安全策略啟動(dòng)的本地組:
     成員名稱(chēng):    -
     成員 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目標帳戶(hù)名稱(chēng):    Administrators
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINAdministrators
     呼叫用戶(hù)名稱(chēng):    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:01:38    Security    成功審核    帳戶(hù)管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了安全策略啟動(dòng)的本地組:
     成員名稱(chēng):    -
     成員 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目標帳戶(hù)名稱(chēng):    Users
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINUsers
     呼叫用戶(hù)名稱(chēng):    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:01:29    Security    成功審核    帳戶(hù)管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略啟動(dòng)的本地組成員:
     成員名稱(chēng):    -
     成員ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目標帳戶(hù)名稱(chēng):    Administrators
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINAdministrators
     呼叫用戶(hù)名稱(chēng):    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:00:35    Security    成功審核    帳戶(hù)管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略啟動(dòng)的本地組成員:
     成員名稱(chēng):    -
     成員ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目標帳戶(hù)名稱(chēng):    Users
     目標域:    Builtin
     目標帳戶(hù) ID:    BUILTINUsers
     呼叫用戶(hù)名稱(chēng):    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:00:35    Security    成功審核    帳戶(hù)管理     628    COMPUTERNAMEclientUserName    COMPUTERNAME    "設置了用戶(hù)帳戶(hù)密碼:
     目標帳戶(hù)名:    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用戶(hù)名:    clientUserName
     呼叫方所屬域:    COMPUTERNAME
     呼叫方登錄 ID:    (0x0,0x17F4C31B)
 "
2006-5-9    10:00:35    Security    成功審核    帳戶(hù)管理     642    COMPUTERNAMEclientUserName    COMPUTERNAME    "更改了用戶(hù)帳戶(hù):
     已啟用帳戶(hù)。  
    '不要求密碼' - 已禁用
     目標帳戶(hù)名稱(chēng):    mytest
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用戶(hù)名:    clientUserName
     呼叫方所屬域:    COMPUTERNAME
     呼叫方登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
2006-5-9    10:00:35    Security    成功審核    帳戶(hù)管理     624    COMPUTERNAMEclientUserName    COMPUTERNAME    "創(chuàng )建了用戶(hù)帳戶(hù):
     新的帳戶(hù)名:    mytest
     新域:    COMPUTERNAME
     新帳戶(hù)標識:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用戶(hù)名:    clientUserName
     呼叫方所屬域:    COMPUTERNAME
 %呼叫方登錄 ID:    (0x0,0x17F4C31B)
     特權        -
 "
2006-5-9    10:00:35    Security    成功審核    帳戶(hù)管理     632    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略啟動(dòng)的全局組成員:
     成員名稱(chēng):    -
     成員 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目標帳戶(hù)名稱(chēng):    None
     目標域:    COMPUTERNAME
     目標帳戶(hù) ID:    COMPUTERNAMENone
     呼叫用戶(hù)名稱(chēng):    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登錄 ID:    (0x0,0x17F4C31B)
     特權:    -
 "
發(fā)表評論 共有條評論
用戶(hù)名: 密碼:
驗證碼: 匿名發(fā)表