Под Windows 2008:
Контролен панел - >Преглед на логовете на събитията - > Преглед на събития (Локален) - >Windows логове - > Сигурност, списъкът вдясно ще покаже цялата информация за сигурността и след това можете да я намеритеИдентификационният номер на инцидента е 4776След като кликнете върху него, "Source Workstation:" се появява името на хоста на Windows клиента, който влиза в машината.
Освен това:
Windows2003
Мястото за преглед на отдалечените логове за вход е по същество подобно на горното, ноID-то на събитието не е същото като в Windows 2008,Windows 2003 е ID на събитието на изгледа 528IP адресът след "Source Network Address" е IP адресът на Windows клиента, който влиза в машината.
Обичайните Windows ID на събития са както следват
Достъп до услугата за одитна директория
4934 - Копират се свойствата на обектите в Active Directory
4935 - Копирането не успява да стартира
4936 - Репликацията не приключи
5136 - Обектът за директория е модифициран
5137 - Създаден е обектът directory service
5138 - Обектът на директория service е изтрит
5139 - Обектът на директория за обслужване е преместен
5141 - Обект от директория услуга изтрит
4932 - Започна реплика синхронизация на AD за именуван контекст
4933 - Синхронизацията на копирането на AD за именуван контекст приключи
Събития за вход при одит
4634 - Акаунтът е анулиран
4647 - Потребителят инициира излизане
4624 - Акаунтът е успешно влязъл
4625 - Влизането в акаунта не е успешно
4648 - Опит за влизане с явни данни за достъп
4675 - SID е филтриран
4649 - Открити повторни атаки
4778 - Сесията се свързва отново с Window Station
4779 - Сесията се прекъсва от Window Station
4800 – Работната станция е заключена
4801 - Работната станция е отключена
4802 - Скрийнсейвърът е активиран
4803 - Скрийнсейвърът е изключен
Представителят на сертификата, изискван от 5378, не е разрешен от политиката
5632 Изисква валидиране на безжични мрежи
5633 Изисква валидиране на жични мрежи
Достъп до одитски обекти
5140 - Достъпва се обект за мрежово споделяне
4664 - Опит за създаване на твърда връзка
4985 - Статусът на транзакцията е променен
5051 - Файлът е виртуализиран
5031 - Windows Firewall Service предотвратява приложение да получава входящи връзки от мрежата
4698 - Създадена е планирана задача
4699 - Планираната задача изтрита
4700 - Планираните задачи са активирани
4701 - Планираната задача е деактивирана
4702 - Актуализирани планирани задачи
4657 - Стойностите на регистъра са модирани
5039 - Ключовете на регистъра са виртуализирани
4660 - Обектът е изтрит
4663 - Опит за достъп до обект
Промени в одитната политика
4715 - Политиката за одит (SACL) върху даден обект е променена
4719 - Промяна в политиката за одит на системата
4902 - Създаден е формуляр за политика за одит на потребител
4906 - Стойността на CrashOnAuditFail е променена
4907 - Настройките за одит на обект са променени
4706 - Създаден нов тръст към домейн
4707 - Доверието към домейн е премахнато
4713 - Политиката на Керберос се е променила
4716 - Информацията за домейна на доверие е променена
4717 - Акаунт, предоставен със сигурен достъп на системата
4718 - Системният достъп за сигурност е премахнат от акаунта
4864 – Сблъсъците на пространства от имена са премахнати
4865 - Добавена е информационна записка за гората на доверието
4866 - Доверен горски информационен запис изтрит
4867 - Записът за информация за гората на тръста е отменен
4704 - Предоставени потребителски права
4705 - Потребителските права са премахнати
4714 - Политиката за възстановяване на криптирани данни е отменена
4944 - Следната политика се активира, когато Windows Firewall е включен
4945 - Включете правило, когато Windows Firewall е включен
4946 - Модификация на списъка с изключения на защитната стена на Windows за добавяне на правила
4947 - Списък с изключения за защитната стена на Windows, променен с модификация на правилата
4948 - Списък с изключения за Windows Firewall е променен с премахнато правило
4949 - Настройките на защитната стена на Windows са възстановени до стандартни
4950 - Настройките на защитната стена на Windows са променени
4951 - Правилото е игнорирано, защото основният номер на версията не се разпознава от Windows Firewall
4952 - Тъй като основният номер на версията не се разпознава от Windows Firewall, някои от правилата са игнорирани и останалите ще бъдат прилагани
4953 - Правилата се игнорират, защото защитната стена на Windows не може да разрешава правила
4954 - Групови политики на Windows Firewall Настройките са променени и ще използват новите настройки
4956 - Windows Firewall е променил активните профили
4957 - Windows Firewall не се прилага за следните правила
4958 - Тъй като записите, включени в това правило, не са конфигурирани, следните правила няма да се прилагат за Windows Firewall:
6144 - Политика за сигурност в обекта Group Policy е успешно приложена
6145 - Възникват една или повече грешки при обработка на политика за сигурност в обект Group Policy
4670 - Разрешенията върху обект са променени
Използване на одитски права
4672 - Присвояване на права на нови входи
4673 - Искане за привилегировани услуги
4674 - Опит за извършване на операция върху привилегирован обект
Събития в одитната система
5024 - Услугата Windows Firewall стартира успешно
5025 - Windows Firewall услугите са спрени
5027 - Услугата Windows Firewall не може да възстанови политики за сигурност от локалното съхранение и ще продължи да прилага текущата политика
5028 - Нова политика за сигурност, която услугата Windows Firewall не може да разреши и ще продължи да прилага настоящата политика
5029 - Услугата Windows Firewall не успява да инициализира драйверите, което ще продължи да прилага текущата политика
5030 - Windows Firewall Service не успява да стартира
5032 - Windows Firewall не уведомява потребителя, че блокира приложение, което получава входяща връзка
5033 - Windows Firewall драйвер стартира успешно
5034 - Драйверът за защитната стена на Windows е спрян
5035 - Драйверът за защитна стена на Windows не успява да стартира
5037 - Драйверът на защитната стена на Windows открива критична грешка при работене, прекратява работата.
4608 - Windows стартира
4609 - Windows се изключва
4616 - Системното време е променено
4621 - Администраторът възстановява системата от CrashOnAuditFail, потребителите без администратор вече могат да влизат, част от одитната дейност може да не бъде записана
4697 - Инсталиране на сървър в системата
4618 - Възникнал е модел на събитие за наблюдение на сигурността
|
Публикувано в 7.05.2018 г. 15:44:05 ч.
|
|
|
|
Публикувано в 8.05.2018 г. 11:39:53 ч.
|
