Operētājsistēmā Windows 2008:
Vadības panelis - >Notikumu žurnālu skatīšana - > Notikumu skatītājs (lokāls) - >Windows žurnāli - > Drošība, labajā pusē esošajā sarakstā tiks parādīta visa drošības informācija, un pēc tam to varēsiet atrastIncidenta ID ir 4776Noklikšķinot uz tā, "Source Workstation:" seko Windows klienta resursdatora nosaukums, kas piesakās mašīnā.
Izņemot to, ka:
Windows 2003
Vieta, kur apskatīt attālinātās pieteikšanās žurnālus, būtībā ir līdzīga iepriekš minētajai, betNotikuma ID nav tāds pats kā operētājsistēmā Windows 2008,Windows 2003 ir skata notikuma ID ir 528IP adrese aiz "Avota tīkla adrese" ir tā Windows klienta IP adrese, kas piesakās datorā.
Izplatītākie Windows notikumu ID ir šādi
Audita direktoriju pakalpojuma piekļuve
4934 — tiek kopēti Active Directory objektu rekvizīti
4935 - Kopēšanu neizdodas sākt
4936 — replikāciju neizdevās pabeigt
5136 — direktoriju pakalpojuma objekts ir modificēts
5137 - Direktoriju pakalpojuma objekts ir izveidots
5138 — direktorija pakalpojuma objekts ir izdzēsts
5139 — direktoriju pakalpojuma objekts ir pārvietots
5141 — direktorija pakalpojuma objekts izdzēsts
4932 — sākta AD repliku sinhronizācija nosauktajam kontekstam
4933 — AD kopēšanas sinhronizācija nosauktajam kontekstam ir beigusies
Auditēt pieteikšanās notikumus
4634 - Konts ir anulēts
4647 - Lietotājs uzsāk atteikšanos
4624 - Konts ir veiksmīgi pieteikts
4625 — pieteikšanās kontā neizdevās
4648 - Mēģinājums pieteikties ar nepārprotamiem akreditācijas datiem
4675 — SID tiek filtrēts
4649 - atrasti atkārtojuma uzbrukumi
4778 - Sesija tiek atkārtoti savienota ar Window Station
4779 - Sesija atvienojas no logu stacijas
4800 – darbstacija ir bloķēta
4801 - Darbstacija ir atbloķēta
4802 — iespējots ekrānsaudzētājs
4803 - Ekrānsaudzētājs ir atspējots
Sertifikāta pārstāvis, kas prasīts saskaņā ar 5378, nav atļauts saskaņā ar politiku
5632 Nepieciešama bezvadu tīklu validācija
5633 Nepieciešama vadu tīklu validācija
Audita objekta piekļuve
5140 — tiek piekļūts tīkla koplietošanas objektam
4664 - Mēģinājums izveidot cieto saiti
4985 — mainījies transakcijas statuss
5051 — fails ir virtualizēts
5031 - Windows ugunsmūra pakalpojums neļauj lietojumprogrammai saņemt ienākošos savienojumus no tīkla
4698 — ir izveidots ieplānots uzdevums
4699 - Ieplānotais uzdevums izdzēsts
4700 — ieplānotie uzdevumi ir iespējoti
4701 — ieplānotais uzdevums ir deaktivizēts
4702 - Atjaunināti ieplānotie uzdevumi
4657 - Reģistra vērtības tiek modificētas
5039 — reģistra atslēgas ir virtualizētas
4660 - Objekts izdzēsts
4663 - Mēģinājums piekļūt objektam
Revīzijas politikas izmaiņas
4715 — objekta audita politika (SACL) ir mainījusies
4719 - Mainīta sistēmas audita politika
4902 — izveidota katra lietotāja audita politikas veidlapa
4906 — CrashOnAuditFail vērtība ir mainījusies
4907 — objekta audita iestatījumi ir mainīti
4706 — domēnam izveidots jauns uzticēšanās
4707 - Uzticēšanās domēnam ir noņemta
4713 - Kerberos politika ir mainīta
4716 - Uzticamības domēna informācija ir modificēta
4717 - Sistēmas drošas piekļuves piešķirtais konts
4718 - Sistēmas drošība Piekļuve tiek noņemta no konta
4864 — nosaukumvietas sadursmes ir noņemtas
4865 - pievienots Trust Forest informācijas ieraksts
4866 - Uzticama meža informācijas ieraksts svītrots
4867 - Trasta meža informācijas ieraksts atcelts
4704 - Piešķirtās lietotāju atļaujas
4705 — lietotāja atļaujas ir noņemtas
4714 - Šifrētu datu atkopšanas politika atcelta
4944 — tālāk norādītā politika ir iespējota, kad ir ieslēgts Windows ugunsmūris
4945 — kārtulas iekļaušana, kad ir ieslēgts Windows ugunsmūris
4946 - Windows ugunsmūra izņēmumu saraksta modifikācija, lai pievienotu kārtulas
4947 - Windows ugunsmūra izņēmumu saraksts modificēts ar kārtulu modificēšanu
4948 — Windows ugunsmūra izņēmumu saraksts modificēts, noņemot kārtulu
4949 - Windows ugunsmūra iestatījumi ir atjaunoti uz noklusējuma iestatījumiem
4950 - Windows ugunsmūra iestatījumi ir mainīti
4951 — kārtula ir ignorēta, jo Windows ugunsmūris neatpazīst galvenās versijas numuru
4952 — tā kā Windows ugunsmūris neatpazīst galvenās versijas numuru, dažas kārtulas ir ignorētas, un pārējās kārtulas tiks izpildītas
4953 — kārtulas tiek ignorētas, jo Windows ugunsmūris nevar atrisināt kārtulas
4954 — Windows ugunsmūra grupas politikas iestatījumi ir mainīti, un tiks izmantoti jaunie iestatījumi
4956 - Windows ugunsmūris ir mainījis aktīvos profilus
4957 - Windows ugunsmūris neattiecas uz šādiem noteikumiem
4958 — tā kā šajā kārtulā iesaistītie ieraksti nav konfigurēti, uz Windows ugunsmūri neattiecas tālāk norādītās kārtulas:
6144 — Grupas politikas objekta drošības politika ir veiksmīgi ieviesta
6145 — apstrādājot drošības politiku grupas politikas objektā, rodas viena vai vairākas kļūdas
4670 — objekta atļaujas ir mainītas
Audita atļauju izmantošana
4672 - Privilēģiju piešķiršana jauniem pieteikšanās lietotājiem
4673 - Priviliģētu pakalpojumu pieprasījums
4674 - Mēģinājums veikt operāciju priviliģētā objektā
Audita sistēmas notikumi
5024 — Windows ugunsmūra pakalpojums ir veiksmīgi startēts
5025 — Windows ugunsmūra pakalpojumi ir apturēti
5027 — Windows ugunsmūra pakalpojums nevar izgūt drošības politikas no lokālās krātuves, un pakalpojums turpinās īstenot pašreizējo politiku
5028 — jauna drošības politika, kuru Windows ugunsmūra pakalpojums nevar atrisināt un turpinās īstenot pašreizējo politiku
5029 — Windows ugunsmūra pakalpojums neizdodas inicializēt draiverus, kas turpinās īstenot pašreizējo politiku
5030 — Windows ugunsmūra pakalpojums neizdodas startēt
5032 — Windows ugunsmūris nepaziņo lietotājam, ka tas bloķē lietojumprogrammu, kas saņem ienākošo savienojumu
5033 - Windows ugunsmūra draiveris veiksmīgi startēts
5034 — Windows ugunsmūra draiveris ir apturēts
5035 - Windows ugunsmūra draiveris neizdodas startēt
5037 — Windows ugunsmūra draiveris nosaka kritisku izpildes kļūdu, tiek pārtraukts.
4608 — Windows tiek startēta
4609 - Operētājsistēma Windows tiek izslēgta
4616 - Sistēmas laiks tiek mainīts
4621 - Administrators atgūst sistēmu no CrashOnAuditFail, lietotāji, kas nav administratori, tagad var pieteikties, dažas audita darbības var netikt reģistrētas
4697 - Servera instalēšana sistēmā
4618 - Ir noticis pārraudzības drošības notikuma modelis
|
Publicēts 07.05.2018 15:44:05
|
|
|
|
Publicēts 08.05.2018 11:39:53
|
