• Windows安全日志


    在运行中输入:eventvwr.msc,即可打开事件日志。

    登录类型 描述
    2 互动(键盘和屏幕的登录系统)
    3 网络(即连接到共享文件夹从其他地方在这台电脑上网络)
    4 批处理(即计划任务)
    5 服务(服务启动 )
    7 解锁密码保护屏幕保护程序(即unnattended工作站)
    8 NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS)
    9 NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件
    10   终端服务,远程桌面或远程协助
    11 Cachedinteractive(与缓存域登录凭证时登录一台笔记本电脑等远程网络

     

     

     

     

     

     

     

     

     

    常见的Windows事件ID说明

    Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下举出的事件ID的操纵系统为Vista/win7/win8/win10/server2008/server2012之后的版本

    事件ID 说明
    1102 清理审计日志
    4624 账号成功登陆
    4625 账号登录失败
    4768 kerberos身份验证(TGT请求)
    4769 kerberos服务票证请求
    4776 NTLM身份验证
    4720 创建用户
    4726 删除用户
    4728 将成员添加到启用安全的全局组中
    4729 将成员从安全的全剧组中移除
    4732 将成员添加到启用安全的本地组中
    4733 将成员从启用安全的本地组中移除
    4756 将成员添加到启用安全的通用组中
    4757 将成员从启用安全的通用组中移除
    4719 系统审计策略修改
  • 相关阅读:
    centos
    ssh 登录 centos 服务器
    Sql NoSql
    Java
    PHP
    React Hooks使用
    前端优化tips
    Error:Node Sass version 5.0.0 is incompatible with ^4.x 解决
    css换行
    git 关联多个远程仓库
  • 原文地址:https://www.cnblogs.com/leeqizhi/p/11469508.html
Copyright © 2020-2023  润新知