Under Windows 2008:
Kontrolpanel - >Vis hændelseslogfiler - > Begivenhedsviser (lokal) - >Windows-logfiler - > Sikkerhed, listen til højre viser alle sikkerhedsoplysninger, og så kan du finde demHændelses-ID'et er 4776Efter at have klikket på den, efterfølges "Source Workstation:" af værtsnavnet på den Windows-klient, der logger ind på maskinen.
Udover det:
windows2003
Stedet hvor man kan se fjernloginlogs ligner grundlæggende det ovenfor, menHændelses-ID'et er ikke det samme som i Windows 2008,Windows 2003 er visnings-begivenheds-ID 528IP-adressen efter "Source Network Address" er IP-adressen på den Windows-klient, der logger på maskinen.
De almindelige Windows-hændelses-ID'er er som følger
Adgang til audit-katalogtjenester
4934 - Egenskaber for Active Directory-objekter kopieres
4935 - Kopiering starter ikke
4936 - Replikationen sluttede ikke
5136 - Directory service-objektet er blevet ændret
5137 - Directory service-objektet er oprettet
5138 - Directory service-objektet er blevet slettet
5139 - Directory service-objektet er blevet flyttet
5141 - Mappetjenesteobjekt slettet
4932 - Replika-synkronisering af AD for navngiven kontekst er startet
4933 - Kopisynkronisering af AD for navngiven kontekst er afsluttet
Audit-loginbegivenheder
4634 - Konto er annulleret
4647 - Bruger initierer udlogging
4624 - Kontoen er blevet logget ind med succes
4625 - Kontologin mislykkedes
4648 - Forsøg på at logge ind med eksplicitte legitimationsoplysninger
4675 - SID filtreres
4649 - Genafspilningsangreb fundet
4778 - Sessionen genforbindes til Window Station
4779 - Session afbrydes forbindelsen fra Window Station
4800 – Arbejdsstation er låst
4801 - Arbejdsstation er ulåst
4802 - Skærmsparer aktiveret
4803 - Skærmspareren er deaktiveret
Den certifikatrepræsentant, som 5378 kræver, er ikke tilladt ifølge politikken
5632 Kræver validering af trådløse netværk
5633 Kræver validering af kablede netværk
Auditobjektadgang
5140 - Et netværksdelingsobjekt tilgås
4664 - Forsøger at oprette en hård forbindelse
4985 - Transaktionsstatus er ændret
5051 - Filen er blevet virtualiseret
5031 - Windows Firewall Service forhindrer et program i at modtage indgående forbindelser fra netværket
4698 - En planlagt opgave er oprettet
4699 - Planlagt opgave slettet
4700 - Planlagte opgaver aktiveres
4701 - Planlagt opgave deaktiveres
4702 - Opdaterede planlagte opgaver
4657 - Registreringsværdier ændres
5039 - Registreringsnøgler virtualiseres
4660 - Objekt slettet
4663 - Forsøger at tilgå et objekt
Ændringer i revisionspolitik
4715 - Revisionspolitikken (SACL) for et objekt er ændret
4719 - Systemrevisionspolitik ændret
4902 - En per-bruger-revisionspolitikformular er blevet oprettet
4906 - CrashOnAuditFail-værdien er ændret
4907 - Revisionsindstillinger for et objekt er blevet ændret
4706 - Ny tillid oprettet til et domæne
4707 - Tillid til et domæne er blevet fjernet
4713 - Kerberos' politik er ændret
4716 - Oplysninger om tillidsdomænet er blevet ændret
4717 - System Secure Access Tildelt Konto
4718 - System Security Access fjernes fra kontoen
4864 – Kollisioner i navnerum er fjernet
4865 - Trust Forest Information Entry tilføjet
4866 - Betroet skovinformationspost slettet
4867 - Trust Forest Informationsindtastning annulleret
4704 - Brugerrettigheder tildelt
4705 - Brugerrettigheder er fjernet
4714 - Krypteret datagendannelsespolitik annulleret
4944 - Følgende politik aktiveres, når Windows Firewall er aktiveret
4945 - Inkluder en regel, når Windows Firewall er aktiveret
4946 - Ændring af Windows Firewall undtagelsesliste for at tilføje regler
4947 - Windows Firewall Undtagelsesliste ændret med regelændring
4948 - Windows Firewall undtagelsesliste ændret med regel fjernet
4949 - Windows Firewall-indstillinger er blevet genoprettet til standard
4950 - Windows Firewall-indstillinger er blevet ændret
4951 - Reglen er blevet ignoreret, fordi det store versionsnummer ikke genkendes af Windows Firewall
4952 - Fordi hovedversionsnummeret ikke genkendes af Windows Firewall, er nogle af reglerne blevet ignoreret, og resten af reglerne vil blive håndhævet
4953 - Regler ignoreres, fordi Windows Firewall ikke kan løse regler
4954 - Windows Firewall Group Policy Settings er blevet ændret og vil bruge de nye indstillinger
4956 - Windows Firewall har ændret aktive profiler
4957 - Windows Firewall gælder ikke for følgende regler
4958 - Fordi de elementer, der er involveret i denne regel, ikke er konfigureret, vil følgende regler ikke gælde for Windows Firewall:
6144 - Sikkerhedspolitik i Group Policy-objektet er blevet håndhævet med succes
6145 - En eller flere fejl opstår, når en sikkerhedspolitik behandles i et Group Policy-objekt
4670 - Tilladelser på et objekt er blevet ændret
Brug af revisionsprivilegier
4672 - Tildel rettigheder til nye logins
4673 - Anmodning om privilegerede tjenester
4674 - Forsøg på at forsøge en operation på et privilegeret objekt
Revisionssystembegivenheder
5024 - Windows Firewall-tjenesten er startet med succes
5025 - Windows firewall-tjenester er blevet stoppet
5027 - Windows Firewall-tjenesten kan ikke hente sikkerhedspolitikker fra lokal lagring, og tjenesten vil fortsat håndhæve den nuværende politik
5028 - En ny sikkerhedspolitik, som Windows Firewall-tjenesten ikke kan løse og fortsat vil håndhæve den nuværende politik
5029 - Windows Firewall-tjenesten fejler i at initialisere drivere, hvilket fortsat vil håndhæve den nuværende politik
5030 - Windows firewall-tjeneste kan ikke starte
5032 - Windows Firewall undlader at underrette brugeren om, at den blokerer et program, der modtager en indgående forbindelse
5033 - Windows Firewall-driveren startedes succesfuldt
5034 - Windows Firewall-driveren er stoppet
5035 - Windows Firewall-driveren kan ikke starte
5037 - Windows firewall-driver registrerer kritisk kørende fejl, afslutter.
4608 - Windows starter
4609 - Windows lukker ned
4616 - Systemtid ændres
4621 - Administrator henter systemet fra CrashOnAuditFail, ikke-administratorbrugere kan nu logge ind, og noget revisionsaktivitet bliver måske ikke logget
4697 - Installation af en server i systemet
4618 - Overvågning af sikkerhedshændelsesmønster er opstået
|
Opslået på 07/05/2018 15.44.05
|
|
|
|
Opslået på 08/05/2018 11.39.53
|
