Windows登录类型及安全日志解析

本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介: Windows登录类型及安全日志解析 一、Windows登录类型       如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。

Windows登录类型及安全日志解析

一、Windows登录类型

      如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 

登录类型2:交互式登录(Interactive) 

这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 

登录类型3:网络(Network) 

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 

登录类型4:批处理(Batch) 

当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。 

登录类型5:服务(Service) 

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。 

登录类型7:解锁(Unlock) 

你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。 

登录类型8:网络明文(NetworkCleartext) 

这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。 

登录类型9:新凭证(NewCredentials) 

当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。 

登录类型10:远程交互(RemoteInteractive) 

当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。 

登录类型11:缓存交互(CachedInteractive) 

Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。 

上面讲了Windows的登录类型,但默认情况下Windows2000是没有记录安全日志的,你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些详细的记录信息有助于大家更好地掌握系统情况,维护网络安定。

二、日志记录

'*************************************************************************
' 通过终端登录服务器的日志(管理员帐号登录)
'*************************************************************************
 
2006-5-9    8:24:01    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x17F4C31B)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-9    8:24:01    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-9    8:23:44    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     Winlogon\MSGina "


'*************************************************************************
' AT计划IIS服务重启(脚本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
 
2006-5-9    7:00:34    Security    成功审核    登录/注销     540    COMPUTERNAME\IUSR_COMPUTERNAME    COMPUTERNAME    "成功的网络登录:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x17BF45CB)
     登录类型:    3
     登录过程:    IIS     
     身份验证程序包:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:    COMPUTERNAME "
2006-5-9    7:00:34    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     IUSR_COMPUTERNAME
 工作站: 
     COMPUTERNAME
 "
2006-5-9    7:00:34    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     \inetinfo.exe "
2006-5-9    7:00:16    Security    成功审核    登录/注销     538    COMPUTERNAME\IUSR_COMPUTERNAME    COMPUTERNAME    "用户注销:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x158DFFBF)
     登录类型:    3
 "


'*************************************************************************
' 计划任务运行程序日志(管理员帐号)
'*************************************************************************
 
2006-5-9    1:08:04    Security    成功审核    登录/注销     538    COMPUTERNAME\clientUserName    COMPUTERNAME    "用户注销:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x167C8DC4)
     登录类型:    4
 "
2006-5-9    1:00:00    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x167C8DC4)
     登录类型:     4
     登录过程:     Advapi  
     身份验证程序包:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:     COMPUTERNAME "
2006-5-9    1:00:00    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "


'*************************************************************************
' 从服务器断开后重新连接到服务器
'*************************************************************************
 
2006-5-4    19:24:24    Security    成功审核    登录/注销     682    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话被重新连接到 winstation:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    RDP-Tcp#3
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:23    Security    成功审核    登录/注销     683    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0xA28751E)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:20    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0xA28751E)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-4    19:24:20    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-4    19:23:58    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     Winlogon\MSGina "
2006-5-4    19:22:34    Security    成功审核    登录/注销     683    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "


'*************************************************************************
' 通过Net User/Net LocalGroup等命令添加用户帐号,加入指定组,删除帐号(Win2K3)
'*************************************************************************
 
2006-5-9    9:23:06    Security    审核成功    帐户管理     630    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     633    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的全局组成员:
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的本地组:
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的本地组:
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:21:24    Security    审核成功    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     628    COMPUTERNAME\clientUserName    COMPUTERNAME    "设置了用户帐户密码:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     642    COMPUTERNAME\clientUserName    COMPUTERNAME    "更改了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方所属域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:        -
 更改的属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值> 
     用户主要名称:    -
     主目录:    <未设置值> 
     主驱动器:    <未设置值> 
     脚本路径:    <未设置值> 
     配置文件路径:    <未设置值> 
     用户工作站:    <未设置值> 
     上一次设置的密码:    2006-5-9 9:17:13
     帐户过期:    <从不> 
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    -
     Sid 历史:    -
     登录时间(以小时计):    <值已更改,但未显示> 
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     626    COMPUTERNAME\clientUserName    COMPUTERNAME    "启用了用户帐户:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     624    COMPUTERNAME\clientUserName    COMPUTERNAME    "创建了用户帐户:
     新的帐户名:    mytest
     新域:    COMPUTERNAME
     新帐户标识:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
 %调用方登录 ID:    (0x0,0x2363D)
     特权:        -
 属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值> 
     用户主要名称:    -
     主目录:    <未设置值> 
     主驱动器:    <未设置值> 
     脚本路径:    <未设置值> 
     配置文件路径:    <未设置值> 
     用户工作站:    <未设置值> 
     上一次设置的密码:    <从不> 
     帐户过期:    <从不> 
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    <未设置值> 
     Sid 历史:    -
     登录时间:    <值已更改,但未显示> 
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     632    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的全局组成员:
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -

 
帐号重命名(685、642)
 
 
*************************************************************************************

Windows 重启事件

*************************************************************************************
事件6005表示计算机日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005,就说明这天正常启动了windows系统。

事件6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID为6006的事件,就表示计算机在这天没关机或没有正常关机(可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作)。如果事件6005和6006的记录时间相差很短,大致可判断为重启(当然可以通过事件1074进行详细的查看)。

事件1074,在系统的事件跟踪程序开启的情况下,可以通过这个事件查看计算机的开机、关机、重启的时间以及原因和注释。

If you're looking for a system initiated shutdown/restart, look for event 1074. The details for this event will tell you what process initiated the restart and what reason was given, and you can check the reason code for further information about why the system shut down or restarted.

事件6009如果你发现多个例如“事件日志已启动”、“Microsoft   (R)   Windows   2000   (R)   5.0   2195   Service   Pack   2   Uniprocessor   Free”这样的信息,一般来说都是系统有过相关的重启或关机;

Event 6009 is logged at startup, not at shutdown. It contains only a string identifying the operating system version. It's been that way since NT 4.0 or so 

事件6013 Windows2008:系统启动时间为 29 秒。

这个日志(6013)的信息并不是表示你的计算机重启了,而是说明自从上次启动以来,系统运行了多长的时间了。该日志会每天12点整出现一次。至于如何查看系统运行多长时间了,请在cmd中输入systeminfo其中有一行就是“系统启动时间”,该值精确到秒)

事件1007表示该计算机无法从DHCP服务器获得相应的信息。在很多网络环境中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在windows日志中产生一个事件ID号为1007的事件。如果用户在事件日志中发现该编号事件,就说明该机器无法从DHCP服务器获得信息。就要查看是该机器的网络故障还是DHCP服务器的问题了。

最后,推荐一个查看日志原因的网站链接,以供参考。

http://www.eventid.net/

 

帐号锁定

事件 ID: 644 类似于以下的消息可能会在安全日志中出现,即使没有用户帐户已被锁定原因的错误登录尝试:

事件 ID: 644。
审核成功。 
事件用户: NT AUTHORITY\ANONYMOUS 登录。
事件源: 安全。 
事件详细信息: 用户帐户锁定:

-或者-

事件 ID: 644。
审核成功。
事件用户: NT AUTHORITY\SYSTEM。
事件源: 安全。
事件详细信息: 用户帐户锁定:
目标帐户 ID: 系统

事件 ID: 644-用户帐户锁定出安全事件生成的主要域控制器 (PDC) 以指示表示用户帐户已被自动锁定原因的错误登录尝试。如果为域审核策略启用了用户和组管理审核类别的成功,则生成安全事件。 

但是,此消息可能不正确地显示在安全日志中,它可能  表示已被由于的无效登录尝试锁定帐户。
 
 
http://support.microsoft.com/kb/887433
您网络上的用户可能意外地锁定用户帐户。即使用户没有以前尝试登录,并在未键入任何不正确的用户名或密码,将发生此问题。在这种情况,在基于 Microsoft Windows Server 2003 的计算机上的事件日志中记录以下事件:

事件类型: 错误
事件源: SAM
事件类别: 无
事件 ID: 12294
日期:
时间:
用户:
计算机:
说明: SAM 数据库无法锁定的帐户由于资源错误,如硬磁盘写的失败 (一个特定的错误代码在错误数据中)。因此,提供了一定数量的错误密码后,帐户会锁定请考虑重设上面提到的帐户的密码。

在您网络上的计算机感染了 W32 时,可能发生此问题。Randex.F 蠕虫病毒或它的变体。
若要解决此问题,请使用最新的可用的病毒定义网络上运行完整的病毒扫描。使用扫描删除 W32。Randex.F 蠕虫病毒。有关如何执行病毒扫描或如何获得最新的病毒定义,请参阅您的防病毒软件文档或与制造商联系。

有关如何与您的防病毒程序制造商联系的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500防病毒软件供应商的列表
 
 
 Windows 2008 帐号锁定  事件 ID: 4625
 
日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2013/10/25 10:46:15
事件 ID:         4625
任务类别:          帐户锁定
级别:            信息
关键字:           审核失败
用户:            暂缺
计算机:           K3N1
描述:
帐户登录失败。
 
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
 
登录类型: 3
 
登录失败的帐户:
安全 ID: NULL SID
帐户名: DEV
帐户域: K3N1
 
失败信息:
失败原因: 帐户已锁定。
状态: 0xc0000234
子状态: 0x0
 
进程信息:
调用方进程 ID: 0x0
调用方进程名: -
 
网络信息:
工作站名: CITY-PC
源网络地址: -
源端口: -
 
详细身份验证信息:
登录进程: NtLmSsp 
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
 
登录请求失败时在尝试访问的计算机上生成此事件。
 
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
 
“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
 
“进程信息”字段表明系统上的哪个帐户和进程请求了登录。
 
“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
 
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
 
 
 
 
 
 
Windows 2008
日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2013/7/18 10:33:13
事件 ID:         4625
任务类别:          登录
级别:            信息
关键字:           审核失败
用户:            暂缺
计算机:           ncndc1test10
描述:
帐户登录失败。
 
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
 
登录类型: 3
 
登录失败的帐户:
安全 ID: NULL SID
帐户名: test
帐户域: WIN-TDAU7R8OHSD
 
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a
 
进程信息:
调用方进程 ID: 0x0
调用方进程名: -
 
网络信息:
工作站名: WIN-TDAU7R8OHSD
源网络地址: -
源端口: -
 
详细身份验证信息:
登录进程: NtLmSsp 
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
 
登录请求失败时在尝试访问的计算机上生成此事件。
 
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
 
“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
 
“进程信息”字段表明系统上的哪个帐户和进程请求了登录。
 
“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
 
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
12天前
|
开发框架 供应链 监控
并行开发模型详解:类型、步骤及其应用解析
在现代研发环境中,企业需要在有限时间内推出高质量的产品,以满足客户不断变化的需求。传统的线性开发模式往往拖慢进度,导致资源浪费和延迟交付。并行开发模型通过允许多个开发阶段同时进行,极大提高了产品开发的效率和响应能力。本文将深入解析并行开发模型,涵盖其类型、步骤及如何通过辅助工具优化团队协作和管理工作流。
45 3
|
1天前
|
缓存 监控 网络协议
|
5天前
|
存储 监控 安全
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
在不断演进的网络安全领域中,保持对威胁的及时了解至关重要。Sysmon日志在这方面发挥了至关重要的作用,通过提供有价值的见解,使组织能够加强其安全姿态。Windows在企业环境中是主导的操作系统,因此深入了解Windows事件日志、它们的独特特性和局限性,并通过Sysmon进行增强,变得至关重要。
|
23天前
|
安全 Java 编译器
Java 泛型深入解析:类型安全与灵活性的平衡
Java 泛型通过参数化类型实现了代码重用和类型安全,提升了代码的可读性和灵活性。本文深入探讨了泛型的基本原理、常见用法及局限性,包括泛型类、方法和接口的使用,以及上界和下界通配符等高级特性。通过理解和运用这些技巧,开发者可以编写更健壮和通用的代码。
|
12天前
|
域名解析 缓存 网络协议
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
|
22天前
|
安全 网络安全 Android开发
深度解析:利用Universal Links与Android App Links实现无缝网页至应用跳转的安全考量
【10月更文挑战第2天】在移动互联网时代,用户经常需要从网页无缝跳转到移动应用中。这种跳转不仅需要提供流畅的用户体验,还要确保安全性。本文将深入探讨如何利用Universal Links(仅限于iOS)和Android App Links技术实现这一目标,并分析其安全性。
122 0
|
27天前
|
存储 缓存 网络协议
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
|
3月前
|
区块链 C# 存储
链动未来:WPF与区块链的创新融合——从智能合约到去中心化应用,全方位解析开发安全可靠DApp的最佳路径
【8月更文挑战第31天】本文以问答形式详细介绍了区块链技术的特点及其在Windows Presentation Foundation(WPF)中的集成方法。通过示例代码展示了如何选择合适的区块链平台、创建智能合约,并在WPF应用中与其交互,实现安全可靠的消息存储和检索功能。希望这能为WPF开发者提供区块链技术应用的参考与灵感。
58 0
|
3月前
|
开发者 C# Windows
WPF与游戏开发:当桌面应用遇见游戏梦想——利用Windows Presentation Foundation打造属于你的2D游戏世界,从环境搭建到代码实践全面解析新兴开发路径
【8月更文挑战第31天】随着游戏开发技术的进步,WPF作为.NET Framework的一部分,凭借其图形渲染能力和灵活的UI设计,成为桌面游戏开发的新选择。本文通过技术综述和示例代码,介绍如何利用WPF进行游戏开发。首先确保安装最新版Visual Studio并创建WPF项目。接着,通过XAML设计游戏界面,并在C#中实现游戏逻辑,如玩家控制和障碍物碰撞检测。示例展示了创建基本2D游戏的过程,包括角色移动和碰撞处理。通过本文,WPF开发者可更好地理解并应用游戏开发技术,创造吸引人的桌面游戏。
156 0
|
3月前
|
存储 开发者 C#
WPF与邮件发送:教你如何在Windows Presentation Foundation应用中无缝集成电子邮件功能——从界面设计到代码实现,全面解析邮件发送的每一个细节密武器!
【8月更文挑战第31天】本文探讨了如何在Windows Presentation Foundation(WPF)应用中集成电子邮件发送功能,详细介绍了从创建WPF项目到设计用户界面的全过程,并通过具体示例代码展示了如何使用`System.Net.Mail`命名空间中的`SmtpClient`和`MailMessage`类来实现邮件发送逻辑。文章还强调了安全性和错误处理的重要性,提供了实用的异常捕获代码片段,旨在帮助WPF开发者更好地掌握邮件发送技术,提升应用程序的功能性与用户体验。
50 0

推荐镜像

更多