• <optgroup id="qksf7"><xmp id="qksf7"><optgroup id="qksf7"></optgroup>
      
      
      <rp id="qksf7"><acronym id="qksf7"></acronym></rp><tbody id="qksf7"><track id="qksf7"><dl id="qksf7"></dl></track></tbody>
      首頁 > 服務器 > Win服務器 > 正文

      Windows登錄安全日志解析

      2020-10-03 18:02:08
      字體:
      來源:轉載
      供稿:網友

      '*************************************************************************
      ' 通過終端登錄服務器的日志(管理員帳號登錄)
      '*************************************************************************
      2006-5-9    8:24:01    Security    成功審核    登錄/注銷     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登錄成功:
           用戶名:     clientUserName
           域:         COMPUTERNAME
           登錄 ID:         (0x0,0x17F4C31B)
           登錄類型:     2
           登錄過程:     User32  
           身份驗證程序包:     Negotiate
           工作站名:     COMPUTERNAME "
      2006-5-9    8:24:01    Security    成功審核    帳戶登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
       帳戶名: 
           clientUserName
       工作站: 
           COMPUTERNAME
       "
      2006-5-9    8:23:44    Security    成功審核    系統事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。 
       
       登錄過程名:     WinlogonMSGina "


      '*************************************************************************
      ' AT計劃IIS服務重啟(腳本)安全日志(IUSR_COMPUTERNAME)
      '*************************************************************************
      2006-5-9    7:00:34    Security    成功審核    登錄/注銷     540    COMPUTERNAMEIUSR_COMPUTERNAME    COMPUTERNAME    "成功的網絡登錄:
           用戶名:    IUSR_COMPUTERNAME
           域:        COMPUTERNAME
           登錄 ID:        (0x0,0x17BF45CB)
           登錄類型:    3
           登錄過程:    IIS     
           身份驗證程序包:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
           工作站名:    COMPUTERNAME "
      2006-5-9    7:00:34    Security    成功審核    帳戶登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
       帳戶名: 
           IUSR_COMPUTERNAME
       工作站: 
           COMPUTERNAME
       "
      2006-5-9    7:00:34    Security    成功審核    系統事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。 
       
       登錄過程名:     inetinfo.exe "
      2006-5-9    7:00:16    Security    成功審核    登錄/注銷     538    COMPUTERNAMEIUSR_COMPUTERNAME    COMPUTERNAME    "用戶注銷:
           用戶名:    IUSR_COMPUTERNAME
           域:        COMPUTERNAME
           登錄 ID:        (0x0,0x158DFFBF)
           登錄類型:    3
       "


      '*************************************************************************
      ' 計劃任務運行程序日志(管理員帳號)
      '*************************************************************************
      2006-5-9    1:08:04    Security    成功審核    登錄/注銷     538    COMPUTERNAMEclientUserName    COMPUTERNAME    "用戶注銷:
           用戶名:    clientUserName
           域:        COMPUTERNAME
           登錄 ID:        (0x0,0x167C8DC4)
           登錄類型:    4
       "
      2006-5-9    1:00:00    Security    成功審核    登錄/注銷     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登錄成功:
           用戶名:     clientUserName
           域:         COMPUTERNAME
           登錄 ID:         (0x0,0x167C8DC4)
           登錄類型:     4
           登錄過程:     Advapi  
           身份驗證程序包:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
           工作站名:     COMPUTERNAME "
      2006-5-9    1:00:00    Security    成功審核    帳戶登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
       帳戶名: 
           clientUserName
       工作站: 
           COMPUTERNAME
       "


      '*************************************************************************
      ' 從服務器斷開后重新連接到服務器
      '*************************************************************************
      2006-5-4    19:24:24    Security    成功審核    登錄/注銷     682    COMPUTERNAMEclientUserName    COMPUTERNAME    "會話被重新連接到 winstation:
           用戶名:    clientUserName
           域:        COMPUTERNAME
           登錄 ID:        (0x0,0x37A9068)
           會話名稱:    RDP-Tcp#3
           客戶端名:    客戶端名(計算機名)
           客戶端地址:    客戶端地址(IP) "
      2006-5-4    19:24:23    Security    成功審核    登錄/注銷     683    COMPUTERNAMEclientUserName    COMPUTERNAME    "會話從 winstation 中斷連接:
           用戶名:    clientUserName
           域:        COMPUTERNAME
           登錄 ID:        (0x0,0xA28751E)
           會話名稱:    Unknown
           客戶端名:    客戶端名(計算機名)
           客戶端地址:    客戶端地址(IP) "
      2006-5-4    19:24:20    Security    成功審核    登錄/注銷     528    COMPUTERNAMEclientUserName    COMPUTERNAME    "登錄成功:
           用戶名:     clientUserName
           域:         COMPUTERNAME
           登錄 ID:         (0x0,0xA28751E)
           登錄類型:     2
           登錄過程:     User32  
           身份驗證程序包:     Negotiate
           工作站名:     COMPUTERNAME "
      2006-5-4    19:24:20    Security    成功審核    帳戶登錄     680    NT AUTHORITYSYSTEM    COMPUTERNAME    "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
       帳戶名: 
           clientUserName
       工作站: 
           COMPUTERNAME
       "
      2006-5-4    19:23:58    Security    成功審核    系統事件     515    NT AUTHORITYSYSTEM    COMPUTERNAME    "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。 
       
       登錄過程名:     WinlogonMSGina "
      2006-5-4    19:22:34    Security    成功審核    登錄/注銷     683    COMPUTERNAMEclientUserName    COMPUTERNAME    "會話從 winstation 中斷連接:
           用戶名:    clientUserName
           域:        COMPUTERNAME
           登錄 ID:        (0x0,0x37A9068)
           會話名稱:    Unknown
           客戶端名:    客戶端名(計算機名)
           客戶端地址:    客戶端地址(IP) "


      '*************************************************************************
      ' 通過Net User/Net LocalGroup等命令添加用戶帳號,加入指定組,刪除帳號(Win2K3)
      '*************************************************************************
      2006-5-9    9:23:06    Security    審核成功    帳戶管理     630    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了用戶帳戶:
           目標帳戶名稱:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMEmytest
           調用方用戶名:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "
      2006-5-9    9:23:06    Security    審核成功    帳戶管理     633    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了啟用安全的全局組成員:
           成員名稱:    -
           成員ID:    COMPUTERNAMEmytest
           目標帳戶名稱:    None
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMENone
           調用方用戶名稱:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "
      2006-5-9    9:23:06    Security    審核成功    帳戶管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了啟用安全的本地組:
           成員名稱:    -
           成員 ID:    COMPUTERNAMEmytest
           目標帳戶名稱:    Administrators
           目標域:    Builtin
           目標帳戶 ID:    BUILTINAdministrators
           調用方用戶名稱:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "
      2006-5-9    9:23:06    Security    審核成功    帳戶管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了啟用安全的本地組:
           成員名稱:    -
           成員 ID:    COMPUTERNAMEmytest
           目標帳戶名稱:    Users
           目標域:    Builtin
           目標帳戶 ID:    BUILTINUsers
           調用方用戶名稱:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "
      2006-5-9    9:21:24    Security    審核成功    帳戶管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了啟用安全的本地組成員:
           成員名稱:    -
           成員ID:    COMPUTERNAMEmytest
           目標帳戶名稱:    Administrators
           目標域:    Builtin
           目標帳戶 ID:    BUILTINAdministrators
           調用方用戶名稱:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "
      2006-5-9    9:17:13    Security    審核成功    帳戶管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了啟用安全的本地組成員:
           成員名稱:    -
           成員ID:    COMPUTERNAMEmytest
           目標帳戶名稱:    Users
           目標域:    Builtin
           目標帳戶 ID:    BUILTINUsers
           調用方用戶名稱:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "
      2006-5-9    9:17:13    Security    審核成功    帳戶管理     628    COMPUTERNAMEclientUserName    COMPUTERNAME    "設置了用戶帳戶密碼:
           目標帳戶名:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMEmytest
           調用方用戶名:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
      "
      2006-5-9    9:17:13    Security    審核成功    帳戶管理     642    COMPUTERNAMEclientUserName    COMPUTERNAME    "更改了用戶帳戶:
           目標帳戶名稱:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMEmytest
           調用方用戶名:    clientUserName
           調用方所屬域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:        -
       更改的屬性:
           SAM 帳戶名稱:    mytest
           顯示名稱:    <未設置值> 
           用戶主要名稱:    -
           主目錄:    <未設置值> 
           主驅動器:    <未設置值> 
           腳本路徑:    <未設置值> 
           配置文件路徑:    <未設置值> 
           用戶工作站:    <未設置值> 
           上一次設置的密碼:    2006-5-9 9:17:13
           帳戶過期:    <從不> 
           主要組 ID:    513
           AllowedToDelegateTo:    -
           舊 UAC 值:    0x9C498
           新 UAC 值:    0x9C498
           用戶帳戶控制:    -
           用戶參數:    -
           Sid 歷史:    -
           登錄時間(以小時計):    <值已更改,但未顯示> 
      "
      2006-5-9    9:17:13    Security    審核成功    帳戶管理     626    COMPUTERNAMEclientUserName    COMPUTERNAME    "啟用了用戶帳戶:
           目標帳戶名:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMEmytest
           調用方用戶名:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
      "
      2006-5-9    9:17:13    Security    審核成功    帳戶管理     624    COMPUTERNAMEclientUserName    COMPUTERNAME    "創建了用戶帳戶:
           新的帳戶名:    mytest
           新域:    COMPUTERNAME
           新帳戶標識:    COMPUTERNAMEmytest
           調用方用戶名:    clientUserName
           調用方域:    COMPUTERNAME
       %調用方登錄 ID:    (0x0,0x2363D)
           特權:        -
       屬性:
           SAM 帳戶名稱:    mytest
           顯示名稱:    <未設置值> 
           用戶主要名稱:    -
           主目錄:    <未設置值> 
           主驅動器:    <未設置值> 
           腳本路徑:    <未設置值> 
           配置文件路徑:    <未設置值> 
           用戶工作站:    <未設置值> 
           上一次設置的密碼:    <從不> 
           帳戶過期:    <從不> 
           主要組 ID:    513
           AllowedToDelegateTo:    -
           舊 UAC 值:    0x9C498
           新 UAC 值:    0x9C498
           用戶帳戶控制:    -
           用戶參數:    <未設置值> 
           Sid 歷史:    -
           登錄時間:    <值已更改,但未顯示> 
      "
      2006-5-9    9:17:13    Security    審核成功    帳戶管理     632    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了啟用安全的全局組成員:
           成員名稱:    -
           成員 ID:    COMPUTERNAMEmytest
           目標帳戶名稱:    None
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMENone
           調用方用戶名稱:    clientUserName
           調用方域:    COMPUTERNAME
           調用方登錄 ID:    (0x0,0x2363D)
           特權:    -
      "

      '****************************************************************
      ' Windows 2000
      '****************************************************************
      2006-5-9    10:01:38    Security    成功審核    帳戶管理     630    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了用戶帳戶:
           目標帳戶名稱:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           呼叫方用戶名:    clientUserName
           呼叫方所屬域:    COMPUTERNAME
           呼叫方登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:01:38    Security    成功審核    帳戶管理     633    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了安全策略啟動的全局組成員:
           成員名稱:    -
           成員ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           目標帳戶名稱:    None
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMENone
           呼叫用戶名稱:    clientUserName
           呼叫域:    COMPUTERNAME
           呼叫者登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:01:38    Security    成功審核    帳戶管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了安全策略啟動的本地組:
           成員名稱:    -
           成員 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           目標帳戶名稱:    Administrators
           目標域:    Builtin
           目標帳戶 ID:    BUILTINAdministrators
           呼叫用戶名稱:    clientUserName
           呼叫域:    COMPUTERNAME
           呼叫者登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:01:38    Security    成功審核    帳戶管理     637    COMPUTERNAMEclientUserName    COMPUTERNAME    "刪除了安全策略啟動的本地組:
           成員名稱:    -
           成員 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           目標帳戶名稱:    Users
           目標域:    Builtin
           目標帳戶 ID:    BUILTINUsers
           呼叫用戶名稱:    clientUserName
           呼叫域:    COMPUTERNAME
           呼叫者登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:01:29    Security    成功審核    帳戶管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略啟動的本地組成員:
           成員名稱:    -
           成員ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           目標帳戶名稱:    Administrators
           目標域:    Builtin
           目標帳戶 ID:    BUILTINAdministrators
           呼叫用戶名稱:    clientUserName
           呼叫域:    COMPUTERNAME
           呼叫者登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:00:35    Security    成功審核    帳戶管理     636    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略啟動的本地組成員:
           成員名稱:    -
           成員ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           目標帳戶名稱:    Users
           目標域:    Builtin
           目標帳戶 ID:    BUILTINUsers
           呼叫用戶名稱:    clientUserName
           呼叫域:    COMPUTERNAME
           呼叫者登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:00:35    Security    成功審核    帳戶管理     628    COMPUTERNAMEclientUserName    COMPUTERNAME    "設置了用戶帳戶密碼:
           目標帳戶名:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           呼叫方用戶名:    clientUserName
           呼叫方所屬域:    COMPUTERNAME
           呼叫方登錄 ID:    (0x0,0x17F4C31B)
       "
      2006-5-9    10:00:35    Security    成功審核    帳戶管理     642    COMPUTERNAMEclientUserName    COMPUTERNAME    "更改了用戶帳戶:
           已啟用帳戶。  
          '不要求密碼' - 已禁用
           目標帳戶名稱:    mytest
           目標域:    COMPUTERNAME
           目標帳戶 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           呼叫方用戶名:    clientUserName
           呼叫方所屬域:    COMPUTERNAME
           呼叫方登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      2006-5-9    10:00:35    Security    成功審核    帳戶管理     624    COMPUTERNAMEclientUserName    COMPUTERNAME    "創建了用戶帳戶:
           新的帳戶名:    mytest
           新域:    COMPUTERNAME
           新帳戶標識:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           呼叫方用戶名:    clientUserName
           呼叫方所屬域:    COMPUTERNAME
       %呼叫方登錄 ID:    (0x0,0x17F4C31B)
           特權        -
       "
      2006-5-9    10:00:35    Security    成功審核    帳戶管理     632    COMPUTERNAMEclientUserName    COMPUTERNAME    "添加了安全策略啟動的全局組成員:
           成員名稱:    -
           成員 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
           目標帳戶名稱:    None
           目標域:    COMPUTERNAME
           目標帳戶 ID:    COMPUTERNAMENone
           呼叫用戶名稱:    clientUserName
           呼叫域:    COMPUTERNAME
           呼叫者登錄 ID:    (0x0,0x17F4C31B)
           特權:    -
       "
      發表評論 共有條評論
      用戶名: 密碼:
      驗證碼: 匿名發表
      一级特黄大片欧美久久久久_一本一道久久综合狠狠老_JLZZ日本人年轻护士_欧美男男作爱VIDEOS可播放