T086学习网 | 站长学院 | 技术文档 | 成语 | 歇后语 | 帝国时代 | 代码收藏 | IP地址查询 | 生活百科 | 生日密码 | CSS压缩 | 用户评论 | 欣欣百宝箱

Windows登录安全日志解析

【 网络作者:佚名 更新时间:2006-09-03 | 字体:
[导读]'*************************************************************************' 通过终端登录服务器的日志(管理员帐号登录)'************************************************************************* 2006-5-...

'*************************************************************************
' 通过终端登录服务器的日志(管理员帐号登录)
'*************************************************************************
2006-5-9    8:24:01    Security    成功审核    登录/注销     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x17F4C31B)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-9    8:24:01    Security    成功审核    帐户登录     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-9    8:23:44    Security    成功审核    系统事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     WinlogonMSGina "


'*************************************************************************
' AT计划IIS服务重启(脚本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
2006-5-9    7:00:34    Security    成功审核    登录/注销     540    COMPUTERNAMEIUSR_COMPUTERNAME    COMPUTERNAME    "成功的网络登录:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x17BF45CB)
     登录类型:    3
     登录过程:    IIS     
     身份验证程序包:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:    COMPUTERNAME "
2006-5-9    7:00:34    Security    成功审核    帐户登录     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     IUSR_COMPUTERNAME
 工作站: 
     COMPUTERNAME
 "
2006-5-9    7:00:34    Security    成功审核    系统事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     inetinfo.exe "
2006-5-9    7:00:16    Security    成功审核    登录/注销     538    COMPUTERNAMEIUSR_COMPUTERNAME    COMPUTERNAME    "用户注销:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x158DFFBF)
     登录类型:    3
 "


'*************************************************************************
' 计划任务运行程序日志(管理员帐号)
'*************************************************************************
2006-5-9    1:08:04    Security    成功审核    登录/注销     538    COMPUTERNAMEclientUserName    COMPUTERNAME    "用户注销:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x167C8DC4)
     登录类型:    4
 "
2006-5-9    1:00:00    Security    成功审核    登录/注销     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x167C8DC4)
     登录类型:     4
     登录过程:     Advapi  
     身份验证程序包:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:     COMPUTERNAME "
2006-5-9    1:00:00    Security    成功审核    帐户登录     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "


'*************************************************************************
' 从服务器断开后重新连接到服务器
'*************************************************************************
2006-5-4    19:24:24    Security    成功审核    登录/注销     682    COMPUTERNAMEclientUserName    COMPUTERNAME    "会话被重新连接到 winstation:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    RDP-Tcp#3
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:23    Security    成功审核    登录/注销     683    COMPUTERNAMEclientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0xA28751E)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:20    Security    成功审核    登录/注销     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0xA28751E)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-4    19:24:20    Security    成功审核    帐户登录     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-4    19:23:58    Security    成功审核    系统事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     WinlogonMSGina "
2006-5-4    19:22:34    Security    成功审核    登录/注销     683    COMPUTERNAMEclientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "


'*************************************************************************
' 通过Net User/Net LocalGroup等命令添加用户帐号,加入指定组,删除帐号(Win2K3)
'*************************************************************************
2006-5-9    9:23:06    Security    审核成功    帐户管理     630    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMEmytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     633    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了启用安全的全局组成员:
     成员名称:    -
     成员ID:    COMPUTERNAMEmytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMENone
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了启用安全的本地组:
     成员名称:    -
     成员 ID:    COMPUTERNAMEmytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTINAdministrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了启用安全的本地组:
     成员名称:    -
     成员 ID:    COMPUTERNAMEmytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTINUsers
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:21:24    Security    审核成功    帐户管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
     成员名称:    -
     成员ID:    COMPUTERNAMEmytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTINAdministrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
     成员名称:    -
     成员ID:    COMPUTERNAMEmytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTINUsers
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     628    COMPUTERNAMEclientUserName    COMPUTERNAME    "设置了用户帐户密码:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMEmytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     642    COMPUTERNAMEclientUserName    COMPUTERNAME    "更改了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMEmytest
     调用方用户名:    clientUserName
     调用方所属域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:        -
 更改的属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值> 
     用户主要名称:    -
     主目录:    <未设置值> 
     主驱动器:    <未设置值> 
     脚本路径:    <未设置值> 
     配置文件路径:    <未设置值> 
     用户工作站:    <未设置值> 
     上一次设置的密码:    2006-5-9 9:17:13
     帐户过期:    <从不> 
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    -
     Sid 历史:    -
     登录时间(以小时计):    <值已更改,但未显示> 
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     626    COMPUTERNAMEclientUserName    COMPUTERNAME    "启用了用户帐户:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMEmytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     624    COMPUTERNAMEclientUserName    COMPUTERNAME    "创建了用户帐户:
     新的帐户名:    mytest
     新域:    COMPUTERNAME
     新帐户标识:    COMPUTERNAMEmytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
 %调用方登录 ID:    (0x0,0x2363D)
     特权:        -
 属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值> 
     用户主要名称:    -
     主目录:    <未设置值> 
     主驱动器:    <未设置值> 
     脚本路径:    <未设置值> 
     配置文件路径:    <未设置值> 
     用户工作站:    <未设置值> 
     上一次设置的密码:    <从不> 
     帐户过期:    <从不> 
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    <未设置值> 
     Sid 历史:    -
     登录时间:    <值已更改,但未显示> 
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     632    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了启用安全的全局组成员:
     成员名称:    -
     成员 ID:    COMPUTERNAMEmytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMENone
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"

'****************************************************************
' Windows 2000
'****************************************************************
2006-5-9    10:01:38    Security    成功审核    帐户管理     630    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
     呼叫方登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:38    Security    成功审核    帐户管理     633    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了安全策略启动的全局组成员:
     成员名称:    -
     成员ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMENone
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:38    Security    成功审核    帐户管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了安全策略启动的本地组:
     成员名称:    -
     成员 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTINAdministrators
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:38    Security    成功审核    帐户管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "删除了安全策略启动的本地组:
     成员名称:    -
     成员 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTINUsers
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:29    Security    成功审核    帐户管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略启动的本地组成员:
     成员名称:    -
     成员ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTINAdministrators
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略启动的本地组成员:
     成员名称:    -
     成员ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTINUsers
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     628    COMPUTERNAMEclientUserName    COMPUTERNAME    "设置了用户帐户密码:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
     呼叫方登录 ID:    (0x0,0x17F4C31B)
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     642    COMPUTERNAMEclientUserName    COMPUTERNAME    "更改了用户帐户:
     已启用帐户。  
    '不要求密码' - 已禁用
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
     呼叫方登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     624    COMPUTERNAMEclientUserName    COMPUTERNAME    "创建了用户帐户:
     新的帐户名:    mytest
     新域:    COMPUTERNAME
     新帐户标识:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
 %呼叫方登录 ID:    (0x0,0x17F4C31B)
     特权        -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     632    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略启动的全局组成员:
     成员名称:    -
     成员 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAMENone
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
  • 转载请注明来源:IT学习网 网址:http://www.t086.com/ 向您的朋友推荐此文章
  • 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们,我们会尽快予以更正。
更多
留言建议ASP探针PHP探针站长Enjoy的Blog
© 2017 T086学习网 - T086.com(原itlearner.com)
RunTime:8.14ms QueryTime:7