Windows 2008:ssa:
Ohjauspaneeli - >Näytä tapahtumalokit - > Tapahtumankatseluohjelma (paikallinen) - >Windowsin lokit - > Tietoturva, oikeanpuoleinen lista näyttää kaikki tietoturvatiedot, ja löydät sen sittenTapahtumatunnus on 4776Kun klikkaat sitä, "Source Workstation:" tulee Windows-asiakkaan isäntänimi, joka kirjautuu sisään koneeseen.
Muuten:
Windows2003
Etäkirjautumislokien katselupaikka on käytännössä samanlainen kuin yllä, muttaTapahtumatunnus ei ole sama kuin Windows 2008:ssa,Windows 2003 on näkymän tapahtumatunnus 528IP-osoite "Lähdeverkko-osoitteen" jälkeen on Windows-asiakkaan IP-osoite, joka kirjautuu koneeseen.
Yleiset Windows-tapahtumatunnukset ovat seuraavat
Auditointihakemistopalvelun käyttöoikeus
4934 - Active Directory -objektien ominaisuudet kopioidaan
4935 - Kopiointi ei käynnisty
4936 - Replikaatio ei päättynyt
5136 - Hakemistopalveluobjektia on muokattu
5137 - Hakemistopalveluobjekti on luotu
5138 - Hakemistopalveluobjekti on poistettu
5139 - Hakemistopalveluobjekti on siirretty
5141 - Hakemistopalveluobjekti poistettu
4932 - AD:n replikasynkronointi nimettyyn kontekstiin on alkanut
4933 - AD:n kopiointisynkronointi nimettyyn kontekstiin on päättynyt
Audit-kirjautumistapahtumat
4634 - Tili peruutetaan
4647 - Käyttäjä aloittaa uloskirjautumisen
4624 - Tili on kirjautunut onnistuneesti sisään
4625 - Tilin kirjautuminen epäonnistui
4648 - Yritä kirjautua sisään eksplisiittisillä tunnuksilla
4675 - SID suodatetaan
4649 - Uusintahyökkäykset löydetty
4778 - Istunto yhdistetään uudelleen Window Stationiin
4779 - Istunto katkeaa Window Stationilta
4800 – Työasema on lukittu
4801 - Työasema on avattu
4802 - Näytönsäästäjä käytössä
4803 - Näytönsäästäjä poistettu käytöstä
5378:n vaatima todistusedustaja ei ole politiikan mukaan sallittu
5632 Vaatii langattomien verkkojen validoinnin
5633 Vaatii langallisten verkkojen validoinnin
Audit-olioiden käyttö
5140 - Verkkojakoobjektia käytetään
4664 - Yritys luoda kovalinkki
4985 - Transaktion tila on muuttunut
5051 - Tiedosto on virtualisoitu
5031 - Windowsin palomuuripalvelu estää sovellusta vastaanottamasta verkosta saapuvia yhteyksiä
4698 - Aikataulutettu tehtävä on luotu
4699 - Aikataulutettu tehtävä poistettu
4700 - Aikataulutetut tehtävät on käytössä
4701 - Aikataulutettu tehtävä poistettu käytöstä
4702 - Aikataulutetut tehtävät päivitetty
4657 - Rekisterin arvoja muutetaan
5039 - Rekisteriavaimet virtualisoitu
4660 - Objekti poistettu
4663 - Yritys päästä käsiksi objektiin
Tilintarkastuspolitiikan muutokset
4715 - Kohteen tarkastuskäytäntö (SACL) on muuttunut
4719 - Järjestelmän tarkastuskäytäntö muutettu
4902 - Käyttäjäkohtainen tarkastuskäytäntölomake on luotu
4906 - CrashOnAuditFail-arvo on muuttunut
4907 - Kohteen auditointiasetukset on muutettu
4706 - Uusi luottamus luotu domainille
4707 - Luottamus verkkotunnukseen on poistettu
4713 - Kerberosin politiikka on muuttunut
4716 - Luottamusdomainin tiedot on muokattu
4717 - Järjestelmälle suojattu pääsy myönnetty tili
4718 - Järjestelmän turvallisuuspääsy poistetaan tililtä
4864 – Nimiavaruuden törmäykset on poistettu
4865 - Trust Forest Information Entry lisätty
4866 - Luotettu metsätieto poistettu
4867 - Trust Forest Information -merkintä peruutettu
4704 - Käyttäjäoikeudet myönnetty
4705 - Käyttäjäoikeudet on poistettu
4714 - Salattujen tietojen palautuskäytäntö peruutettu
4944 - Seuraava käytäntö otetaan käyttöön, kun Windowsin palomuuri on päällä
4945 - Sisällytä sääntö, kun Windowsin palomuuri on päällä
4946 - Muutos Windowsin palomuuripoikkeuslistaan sääntöjen lisäämiseksi
4947 - Windowsin palomuuripoikkeuslista muokattu sääntömuutoksella
4948 - Windowsin palomuuripoikkeuslista muokattu ja sääntö poistettu
4949 - Windowsin palomuurin asetukset on palautettu oletuksiin
4950 - Windowsin palomuurin asetukset on muutettu
4951 - Sääntöä on jätetty huomiotta, koska Windowsin palomuuri ei tunnista pääversionumeroa
4952 – Koska Windowsin palomuuri ei tunnista pääversionumeroa, osa säännöistä on jätetty huomiotta ja loput säännöistä valvotaan
4953 - Säännöt jätetään huomiotta, koska Windowsin palomuuri ei pysty ratkaisemaan sääntöjä
4954 - Windowsin palomuurin ryhmäpolitiikka-asetukset on muutettu ja ne käyttävät uusia asetuksia
4956 - Windowsin palomuuri on vaihtanut aktiivisia profiileja
4957 - Windowsin palomuuri ei koske seuraavia sääntöjä
4958 - Koska tämän säännön alkiot eivät ole konfiguroituja, seuraavat säännöt eivät koske Windowsin palomuuria:
6144 - Turvallisuuspolitiikka Group Policy -objektissa on onnistuneesti toteutettu
6145 - Yksi tai useampi virhe ilmenee, kun tietoturvapolitiikkaa käsitellään Group Policy -objektissa
4670 - Objektin käyttöoikeudet on muutettu
Audit-oikeuden käyttö
4672 - Uusien kirjautumistietojen myöntäminen
4673 - Pyyntö etuoikeuksista
4674 - Yritys tehdä leikkaus etuoikeutetulle esineelle
Auditointijärjestelmän tapahtumat
5024 - Windowsin palomuuripalvelu on käynnistynyt onnistuneesti
5025 - Windowsin palomuuripalvelut on lopetettu
5027 - Windowsin palomuuripalvelu ei pysty hakemaan tietoturvapolitiikkoja paikallisesta tallennustilasta, ja palvelu jatkaa nykyisen politiikan valvontaa
5028 – Uusi tietoturvakäytäntö, jota Windowsin palomuuripalvelu ei voi ratkaista ja joka jatkaa nykyisen politiikan valvontaa
5029 - Windowsin palomuuripalvelu ei käynnistä ajureita, jotka jatkavat nykyisen käytännön valvontaa
5030 - Windowsin palomuuripalvelu ei käynnisty
5032 - Windowsin palomuuri ei ilmoita käyttäjälle, että se estää sovelluksen, joka vastaanottaa saapuvan yhteyden
5033 - Windowsin palomuuriajuri käynnistyi onnistuneesti
5034 - Windowsin palomuuriajuri on pysähtynyt
5035 - Windowsin palomuuriajuri ei käynnisty
5037 - Windowsin palomuuriajuri havaitsee kriittisen ajovirheen ja lopettaa.
4608 - Windows käynnistyy
4609 - Windows sulkeutuu
4616 - Järjestelmän aikaa muutetaan
4621 - Järjestelmänvalvoja ottaa järjestelmän takaisin CrashOnAuditFailista, ei-ylläpitäjät voivat nyt kirjautua sisään, osa auditointitoiminnasta ei välttämättä ole kirjattu
4697 - Palvelimen asentaminen järjestelmään
4618 - Valvo turvallisuustapahtumamallia on tapahtunut
|
Julkaistu 7.5.2018 15.44.05
|
|
|
|
Julkaistu 8.5.2018 11.39.53
|
