關於Server2008 R2日誌的查看

Server 2008 r2經過 系統事件查看器 分析日誌：

 

 

 

 

 

 

 

 

 

 

查看 系統 事件：

 

 

事件ID號：

審計目錄服務訪問

4934 - Active Directory 對象的屬性被複制

4935 -複製失敗開始

4936 -複製失敗結束

5136 -目錄服務對象已修改

5137 -目錄服務對象已建立

5138 -目錄服務對象已刪除

5139 -目錄服務對象已經移動

5141 -目錄服務對象已刪除

4932 -命名上下文的AD的副本同步已經開始

4933 -命名上下文的AD的副本同步已經結束

 

審計登陸事件

4634 - 賬戶被註銷

4647 - 用戶發起註銷

4624 - 賬戶已成功登陸

4625 - 賬戶登陸失敗

4648 - 試圖使用明確的憑證登陸

4675 - SID被過濾

4649 - 發現重放攻擊

4778 - 會話被從新鏈接到Window Station

4779 - 會話斷開鏈接到Window Station

4800 – 工做站被鎖定

4801 - 工做站被解鎖

4802 - 屏幕保護程序啓用

4803 - 屏幕保護程序被禁用

5378 - 所要求的憑證表明是政策所不容許的

5632 - 要求對無線網絡進行驗證

5633 - 要求對有線網絡進行驗證

 

審計對象訪問

5140 - 網絡共享對象被訪問

4664 - 試圖建立一個硬連接

4985 - 交易狀態已經改變

5051 - 文件已被虛擬化

5031 - Windows防火牆服務阻止一個應用程序接收網絡中的入站鏈接

4698 - 計劃任務已建立

4699 - 計劃任務已刪除

4700 - 計劃任務已啓用

4701 - 計劃任務已停用

4702 - 計劃任務已更新

4657 - 註冊表值被修改

5039 - 註冊表項被虛擬化

4660 - 對象已刪除

4663 - 試圖訪問一個對象

 

審計政策變化

4715 - 對象上的審計政策(SACL)已經更改

4719 - 系統審計政策已經更改

4902 - Per-user審覈政策表已經建立

4906 - CrashOnAuditFail值已經變化

4907 - 對象的審計設置已經更改

4706 - 建立到域的新信任

4707 - 到域的信任已經刪除

4713 - Kerberos政策已更改

4716 - 信任域信息已經修改

4717 - 系統安全訪問授予賬戶

4718 - 系統安全訪問從賬戶移除

4864 - 名字空間碰撞被刪除

4865 - 信任森林信息條目已添加

4866 - 信任森林信息條目已刪除

4867 - 信任森林信息條目已取消

4704 - 用戶權限已分配

4705 - 用戶權限已移除

4714 - 加密數據復原政策已取消

4944 - 當開啓Windows Firewall時下列政策啓用

4945 - 當開啓Windows Firewall時列入一個規則

4946 - 對Windows防火牆例外列表進行了修改，添加規則

4947 - 對Windows防火牆例外列表進行了修改，規則已修改

4948 - 對Windows防火牆例外列表進行了修改，規則已刪除

4949 - Windows防火牆設置已恢復到默認值

4950 - Windows防火牆設置已更改

4951 - 由於主要版本號碼不被Windows防火牆認可，規則已被忽視

4952 - 由於主要版本號碼不被Windows防火牆認可，部分規則已被忽視，將執行規則的其他部分

4953 - 由於Windows防火牆不能解析規則，規則被忽略

4954 - Windows防火牆組政策設置已經更改，將使用新設置

4956 - Windows防火牆已經更改主動資料

4957 - Windows防火牆不適用於如下規則

4958 - 由於該規則涉及的條目沒有被配置，Windows防火牆將不適用如下規則：

6144 - 組策略對象中的安全政策已經成功運用

6145 - 當處理組策略對象中的安全政策時發生一個或者多個錯誤

4670 - 對象的權限已更改

 

審計特權使用

4672 - 給新登陸分配特權

4673 - 要求特權服務

4674 - 試圖對特權對象嘗試操做

 

審計系統事件

5024 - Windows防火牆服務已成功啓動

5025 - Windows防火牆服務已經被中止

5027 - Windows防火牆服務沒法從本地存儲檢索安全政策，該服務將繼續執行目前的政策

5028 - Windows防火牆服務沒法解析的新的安全政策，這項服務將繼續執行目前的政策

5029 - Windows防火牆服務沒法初始化的驅動程序，這項服務將繼續執行目前的政策

5030 - Windows防火牆服務沒法啓動

5032 - Windows防火牆沒法通知用戶它阻止了接收入站鏈接的應用程序

5033 - Windows防火牆驅動程序已成功啓動

5034 - Windows防火牆驅動程序已經中止

5035 - Windows防火牆驅動程序未能啓動

5037 - Windows防火牆驅動程序檢測到關鍵運行錯誤，終止。

4608 - Windows正在啓動

4609 - Windows正在關機

4616 - 系統時間被改變

4621 - 管理員從CrashOnAuditFail回收系統，非管理員的用戶如今能夠登陸，有些審計活動可能沒有被記錄

4697 - 系統中安裝服務器

 

4618 - 監測安全事件樣式已經發生

 

 

Windows登陸類型

 

登陸類型2：交互式登陸（Interactive）：就是指用戶在計算機的控制檯上進行的登陸，也就是在本地鍵盤上進行的登陸。

登陸類型3：網絡（Network）： 最多見的是訪問網絡共享文件夾或打印機。另外大多數狀況下經過網絡登陸IIS時也被記爲這種類型，但基本驗證方式的IIS登陸是個例外，它將被記爲類型8。

登陸類型4：批處理（Batch） ：當Windows運行一個計劃任務時，「計劃任務服務」將爲這個任務首先建立一個新的登陸會話以便它能在此計劃任務所配置的用戶帳戶下運行，當這種登陸出現時，Windows在日誌中記爲類型4，對於其它類型的工做任務系統，依賴於它的設計，也能夠在開始工做時產生類型4的登陸事件，類型4登陸一般代表某計劃任務啓動，但也多是一個惡意用戶經過計劃任務來猜想用戶密碼，這種嘗試將產生一個類型4的登陸失敗事件，可是這種失敗登陸也多是因爲計劃任務的用戶密碼沒能同步更改形成的，好比用戶密碼更改了，而忘記了在計劃任務中進行更改。

登陸類型5：服務（Service） ：與計劃任務相似，每種服務都被配置在某個特定的用戶帳戶下運行，當一個服務開始時，Windows首先爲這個特定的用戶建立一個登陸會話，這將被記爲類型5，失敗的類型5一般代表用戶的密碼已變而這裏沒獲得更新。

登陸類型7：解鎖（Unlock） ：不少公司都有這樣的安全設置：當用戶離開屏幕一段時間後，屏保程序會鎖定計算機屏幕。解開屏幕鎖定須要鍵入用戶名和密碼。此時產生的日誌類型就是Type 7。

登陸類型8：網絡明文（NetworkCleartext） ：一般發生在IIS 的 ASP登陸。不推薦。

登陸類型9：新憑證（NewCredentials） ：一般發生在RunAS方式運行某程序時的登陸驗證。

登陸類型10：遠程交互（RemoteInteractive） ：經過終端服務、遠程桌面或遠程協助訪問計算機時，Windows將記爲類型10，以便與真正的控制檯登陸相區別，注意XP以前的版本不支持這種登陸類型，好比Windows2000仍然會把終端服務登陸記爲類型2。

 

登陸類型11：緩存交互（CachedInteractive） :在本身網絡以外以域用戶登陸而沒法登陸域控制器時使用緩存登陸。默認狀況下，Windows緩存了最近10次交互式域登陸的憑證HASH，若是之後當你以一個域用戶登陸而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份。

 

 

 

 

 

 

Server 2008 r2經過 系統事件查看器 分析日誌：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

查看系統事件：