1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。
2、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。
3、事件id(其他具体事件id需要时可自行百度)
事件ID事件类型
说明
4608、4609、4610、4611、4612、4614、4615和4616
系统事件
本地系统进程,包括启动、关闭系统和更改系统时间。
4612
清除的审计日志
所有审计日志清除事件
4624
登录成功
所有用户登录事件
4625
无法登录
所有用户登录失败事件
4634
用户退出成功
所有用户退出事件
4656、4658、4659、4660、4661、4662、4663和4664
访问对象
对于访问特定对象(文件、目录等)的类型(读取、写入、删除等),是访问成功还是失败,是谁实施了该行为
4719
审计策略更改
审计策略更改
420、4722、4723、4724、4725、4726、4738和4740
修改用户帐户
修改用户帐户,包括创建、删除用户帐户和更改密码
4727 to 4737,4739 to 4762
修改用户组
对用户组的所有更改,包括添加或删除全局组或本地组,以及从全局组或本地组中添加或删除成员
4768,4776
用户帐户验证成功
在域控制器上验证域用户帐户后,将生成用户帐户成功登录的事件。
4771、4777
用户帐户验证失败
用户帐户登录失败。 如果域用户帐户在域控制器上经过身份验证,则会生成用户帐户登录失败的事件。
4778,4779
主机会话状态
重新连接或断开会话
4、以登录为例查看上述表,了解登录事件id条件4624并进行筛选。
点击其中一个,可以看到详细信息、两个视图,自己选择,看到下图。 登录有很多种类型。
其登陆各类型的详细情况如下。
类型ID注册方法说明信息2 interactiveauserloggedontothiscomputerattheconsole3networkauserorcomputerloggedonthiscomputerfromthenetwork4batch ybatchservers, whereprocessesmightrunonbehalfofauserwithouttheuser’sdirectintervention5serviceasstartedbytheservicecontrolmanager 7 ed8networkcleartextauserloggedontoanetworkandtheuserpasswordwaspassedtotheauthenticationpackageinitsuserpasssedtotheautheauthenticatic plaintext ) form.itispossiblethattheunhashedpasswordwaspassedacrossthenetwork,for example, wheniisperformedbasicauthentication9newcredentialsacaller (process,thread,or program ) cloneditscurrenttokenandspecifiedned
nections. The new logon session has the same local identity, but it uses different credentials for other network connections.10RemoteInteractiveA user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.11CachedInteractiveA user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials登录类型2:交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。
登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。
登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。
登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后zjdmp以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。