Windows2008系统安全日志分析
1、IPC连接成功后会生成一个事件ID为4624的安全事件,示例如下:
已成功登录帐户。
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
登录类型: 3
新登录:
安全 ID: WIN-XXX\Administrator
帐户名: Administrator
帐户域: WIN-XXX
登录 ID: 0x1012a1
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0x0
进程名: -
网络信息:
工作站名: CORP-XXX \\这是来访者的主机名
源网络地址: 192.168.0.110
源端口: 3745
详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): NTLM V1
密钥长度: 0
2、IPC连接失败后会生成一个事件ID为4625的安全事件,示例如下:
帐户登录失败。
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
登录类型: 3
登录失败的帐户:
安全 ID: NULL SID
帐户名: admin \\尝试错误的密码
帐户域: CORP-XXX
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc0000064
进程信息:
调用方进程 ID: 0x0
调用方进程名: -
网络信息:
工作站名: CORP-XXX \\会记录来访者的主机名及IP地址
源网络地址: 192.168.0.110
源端口: 3737
详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
3、远程3389登陆机器成功后会生成一个事件ID为4648的安全事件,同时也会生成4624事件,示例如下:
试图使用显式凭据登录。
主题:
安全 ID: SYSTEM
帐户名: WIN-XXX$
帐户域: WORKGROUP
登录 ID: 0x3e7
登录 GUID: {00000000-0000-0000-0000-000000000000}
使用了哪个帐户的凭据:
帐户名: Administrator
帐户域: WIN-XXX
登录 GUID: {00000000-0000-0000-0000-000000000000}
目标服务器:
目标服务器名: localhost
附加信息: localhost
进程信息:
进程 ID: 0xa50
进程名: C:\Windows\System32\winlogon.exe
网络信息:
网络地址: 192.168.0.110 \\会记录来访者的IP,但不记录其主机名
端口: 3753 \\同时生成的4624事件在此也不会记录来访者的主机名
4、远程3389登陆失败会生成事件ID为4625的安全事件,示例如下:
帐户登录失败。
主题:
安全 ID: SYSTEM
帐户名: WIN-XXX$
帐户域: WORKGROUP
登录 ID: 0x3e7
登录类型: 10
登录失败的帐户:
安全 ID: NULL SID
帐户名: admin
帐户域: WIN-XXX
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc0000064
进程信息:
调用方进程 ID: 0x714
调用方进程名: C:\Windows\System32\winlogon.exe
网络信息:
工作站名: WIN-XXX \\记录的是服务器的主机名,不会记录来访者的主机名
源网络地址: 192.168.0.110
源端口: 3759
详细身份验证信息:
登录进程: User32
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0