Windows 2008 alatt:
Vezérlőpanel - >Eseménynaplók megtekintése - > Eseménynéző (helyi) - >Windows naplók - > Biztonság esetén a jobb oldali lista minden biztonsági információt megjelenít, majd megtalálhatjaAz eset azonosítója: 4776Rákattintás után a "Source Workstation:" követi a Windows kliens gépen bejelentkező hosztneve.
Ezen kívül:
Windows2003
A távoli bejelentkezési naplók megtekintése lényegében hasonló a fentihez, deAz eseményazonosító nem ugyanaz, mint a Windows 2008-ban,A Windows 2003 megtekintési eseményazonosítója 528Az IP-cím a "Forráshálózati cím" után annak a Windows kliensnek az IP-címe, amely bejelentkezik a gépbe.
A Windows gyakori eseményazonosítói a következők
Audit directory szolgáltatás hozzáférés
4934 - Az Active Directory objektumok tulajdonságai másolódnak
4935 - A másolás nem indul el
4936 - A replikáció nem ért véget
5136 - A könyvtár szolgáltatás objektumot módosították
5137 - Létrehozták a könyvtár szolgáltatás objektumot
5138 - A könyvtár szolgáltatás objektumot törölték
5139 - A könyvtár szolgáltatás objektumot áthelyezték
5141 - Könyvtár szolgáltatás objektum törölve
4932 - Megkezdődött az AD replika szinkronizálása a nevelt kontextushoz
4933 - Az AD másolása a nevelt kontextushoz véget ért
Audit bejelentkezési események
4634 - A fiók törölve
4647 - A felhasználó kilépést kezdeményezi
4624 - A fiók sikeresen bejelentkezett
4625 - Fiókbejelentkezés sikertelen
4648 - Explicit hiteles adatok segítségével próbálkozni
4675 - SID szűrve van
4649 - Ismétlés támadások találtak
4778 - Az ülés újra csatlakozik az Ablakállomáshoz
4779 - A Session megszakítása az Ablakállomásról
4800 – A munkaállomás zárva van
4801 - A munkaállomás feloldva van
4802 - Képernyővédő engedélyezve
4803 - Képernyővédő letiltva
A 5378-as tanúsítvány képviselője a szabályzat szerint nem engedélyezett
5632 Vezeték nélküli hálózatok validálását igényli
5633 Vezetékes hálózatok ellenőrzését igényli
Audit objektum-hozzáférés
5140 - Egy hálózati megosztási objektum érhető el
4664 - Kemény link létrehozásának kísérlete
4985 - A tranzakciós státusz megváltozott
5051 - A fájl virtualizálódott
5031 - Windows Tűzfal Szolgáltatás megakadályozza, hogy egy alkalmazás bejövő kapcsolatokat fogadjon a hálózatból
4698 – Ütemezett feladat született
4699 - Ütemezett feladat törölve
4700 - Ütemezett feladatok engedélyezve vannak
4701 - Az ütemezett feladat deaktiválása
4702 - Ütemezett feladatok frissítve
4657 - A regisztrációs értékek módosítása
5039 - A regiszterkulcsok virtualizáltak
4660 - Objektum törölve
4663 - Egy objektum elérésének kísérlete
Auditi szabályzat változásai
4715 - Egy objektumra vonatkozó Audit Szabályzat (SACL) megváltozott
4719 - Rendszerellenőrzési szabályzat megváltoztatása
4902 - Felhasználónként elérhető audit szabályzat űrlap készült
4906 - CrashOnAuditFail értéke megváltozott
4907 - Egy objektum audit beállításai megváltoztak
4706 - Új bizalmi vagyonkezelés egy doménhoz
4707 - Egy domain iránti bizalmat eltávolították
4713 - Kerberos politika megváltozott
4716 - A bizalmi domain adatai módosítottak
4717 - Rendszerbiztonsági hozzáférés engedélyezett számla
4718 - A rendszerbiztonsági hozzáférés eltávolítása a fiókból
4864 – Névtéri ütközések eltávolítása
4865 - Trust Forest Information bejegyzés hozzáadva
4866 - Megbízható erdei információs bejegyzés törölve
4867 - Trust Forest Information bejegyzés törölve
4704 - Kirendelt felhasználói jogosultságok
4705 - Felhasználói jogosultságok eltávolításra kerültek
4714 - Titkosított adat-visszaállítási szabályzat törölve
4944 - Az alábbi szabályzat engedélyezett, ha bekapcsolják a Windows tűzfalat
4945 - Tegyél be egy szabályt, amikor a Windows tűzfal be van kapcsolva
4946 - Módosítás Windows tűzfal kivétellistájában szabályok hozzáadásához
4947 - Windows tűzfal kivétellistája szabálymódosítással módosítva
4948 - Windows tűzfal kivétellista módosítva, szabály eltávolításával
4949 - A Windows tűzfal beállításai visszaálltak alapértelmezettre
4950 - Windows tűzfal beállításai megváltoztak
4951 – A szabályt figyelmen kívül hagyták, mert a fő verziószámot a Windows Tűzfal nem ismeri fel
4952 - Mivel a fő verziószámot a Windows Tűzfal nem ismeri fel, néhány szabályt figyelmen kívül hagyott, a többi szabályt pedig érvényesíteni fogják
4953 - A szabályokat figyelmen kívül hagyják, mert a Windows tűzfal nem tudja megoldani a szabályokat
4954 - Windows tűzfal csoportszabályzat beállításai megváltoztak, és az új beállításokat fogják használni
4956 - A Windows tűzfal megváltoztatta az aktív profilokat
4957 - A Windows tűzfal nem vonatkozik az alábbi szabályokra
4958 - Mivel a szabályban szereplő bejegyzések nincsenek konfigurálva, az alábbi szabályok nem vonatkoznak a Windows Tűzfalra:
6144 - A Csoportpolitika objektum biztonsági szabályzata sikeresen érvényesíthető
6145 - Egy vagy több hiba fordul elő, amikor egy biztonsági politika feldolgozása egy csoportpolitikai objektumban
4670 - Egy objektum engedélyei megváltozott
Audit privilege use
4672 - Hozzáférések osztása új bejelentkezésekhez
4673 - Kiváltságos szolgáltatások iránti kérelem
4674 - Megpróbáltatás egy kiváltságos tárgy megtestítésére
Audit rendszer eseményei
5024 – A Windows tűzfal szolgáltatás sikeresen elindult
5025 - A Windows tűzfal szolgáltatásai leállítottak
5027 - A Windows Tűzfal szolgáltatás nem tudja biztonsági szabályzatokat visszaszerezni a helyi tárolóból, és a szolgáltatás továbbra is érvényesíti a jelenlegi szabályzatot
5028 – Egy új biztonsági politika, amelyet a Windows tűzfal szolgáltatás nem tud megoldani, és továbbra is érvényesíti a jelenlegi szabályzatot
5029 - A Windows tűzfal szolgáltatás nem inicializálja az illesztőprogramokat, amelyek továbbra is érvényesítik a jelenlegi szabályzatot
5030 - Windows tűzfal szolgáltatás nem indul el
5032 - A Windows tűzfal nem értesíti a felhasználót, hogy blokkolja a bejövő kapcsolatot vevő alkalmazást
5033 - Windows tűzfal illezőprogram sikeres indulása
5034 - Windows tűzfal illesztőprogram leállt
5035 - Windows tűzfal illesztőprogram nem indul el
5037 - Windows tűzfal illesztőprogram kritikus futó hibát észlel, leállít.
4608 - Windows indul
4609 - A Windows leáll
4616 - Rendszeridő módosítása
4621 - Az adminisztrátor visszafoglalja a rendszert a CrashOnAuditFail-ről, a nem adminisztrátor felhasználók most már bejelentkezhetnek, egyes auditi tevékenységek nem feltétlenül kerülnek rögzítésre
4697 - Szerver telepítése a rendszerbe
4618 - Monitori biztonsági esemény mintázata történt
|
Közzétéve 2018. 05. 07. 15:44:05
|
|
|
|
Közzétéve 2018. 05. 08. 11:39:53
|
