Under Windows 2008:
Kontrollpanel - >Vis hendelseslogger - > Hendelsesviser (lokal) - >Windows-logger - > Sikkerhet, listen til høyre vil vise all sikkerhetsinformasjon, og så kan du finne denHendelses-ID-en er 4776Etter å ha klikket på den, etterfølges "Source Workstation:" av vertsnavnet til Windows-klienten som logger inn på maskinen.
Utover det:
windows2003
Stedet for å se loggene for fjerninnlogging er i hovedsak likt det over, menHendelses-ID-en er ikke den samme som i Windows 2008,Windows 2003 er visnings-hendelses-ID-en 528IP-adressen etter "Source Network Address" er IP-adressen til Windows-klienten som logger seg på maskinen.
De vanlige Windows-hendelses-ID-ene er som følger
Audit-katalogtjenestetilgang
4934 - Egenskaper for Active Directory-objekter kopieres
4935 - Kopiering starter ikke
4936 - Replikasjonen sluttet ikke
5136 - Katalogtjenesteobjektet er endret
5137 - Katalogtjenesteobjektet er opprettet
5138 - Katalogtjenesteobjektet er slettet
5139 - Directory service-objektet er flyttet
5141 - Katalogtjenesteobjekt slettet
4932 - Replikasynkronisering av AD for navngitt kontekst har startet
4933 - Kopisynkronisering av AD for navngitt kontekst er avsluttet
Audit-innloggingshendelser
4634 - Kontoen er kansellert
4647 - Bruker initierer utlogging
4624 - Kontoen er logget inn med suksess
4625 - Kontoinnlogging feilet
4648 - Forsøk på å logge inn med eksplisitte legitimasjoner
4675 - SID filtreres
4649 - Replay-angrep funnet
4778 - Økten kobles til Window Station igjen
4779 - Session kobler fra Window Station
4800 – Arbeidsstasjonen er låst
4801 - Arbeidsstasjon er ulåst
4802 - Skjermsparer aktivert
4803 - Skjermsparer er deaktivert
Sertifikatrepresentanten som kreves av 5378, er ikke tillatt ifølge policyen
5632 Krever validering av trådløse nettverk
5633 Krever validering av kablede nettverk
Audit-objekttilgang
5140 - Et nettverksdelingsobjekt er aksessert
4664 - Forsøker å lage en hard kobling
4985 - Transaksjonsstatusen har endret seg
5051 - Filen er virtualisert
5031 - Windows Firewall Service forhindrer at et program mottar innkommende tilkoblinger fra nettverket
4698 - En planlagt oppgave er opprettet
4699 - Planlagt oppgave slettet
4700 - Planlagte oppgaver aktiveres
4701 - Planlagt oppgave deaktiveres
4702 - Oppdaterte planlagte oppgaver
4657 - Registerverdier er endret
5039 - Registernøkler virtualiseres
4660 - Objekt slettet
4663 - Forsøker å få tilgang til et objekt
Endringer i revisjonspolitikken
4715 - Revisjonspolicyen (SACL) på et objekt har endret seg
4719 - Systemrevisjonspolicy endret
4902 - Per-brukerrevisjonsskjema er opprettet
4906 - CrashOnAuditFail-verdien har endret seg
4907 - Revisjonsinnstillinger for et objekt er endret
4706 - Ny tillit opprettet til et domene
4707 - Tillit til et domene er fjernet
4713 - Kerberos' politikk har endret seg
4716 - Informasjon om tillitsdomenet er endret
4717 - Systemsikker tilgang gitt konto
4718 - Systemsikkerhetstilgang fjernes fra kontoen
4864 – Kollisjoner i navnerommet er fjernet
4865 - Trust Forest informasjonsoppføring lagt til
4866 - Betrodd skoginformasjonsoppføring slettet
4867 - Trust Forest informasjonsoppføring kansellert
4704 - Brukertillatelser tildelt
4705 - Brukertillatelser er fjernet
4714 - Kryptert datagjenopprettingspolicy kansellert
4944 - Følgende policy aktiveres når Windows Firewall er aktivert
4945 - Inkluder en regel når Windows-brannmuren er slått på
4946 - Endring i Windows-brannmurens unntaksliste for å legge til regler
4947 - Windows brannmur unntaksliste modifisert med regelendring
4948 - Windows-brannmurens unntaksliste endret med regelen fjernet
4949 - Windows brannmurinnstillinger er gjenopprettet til standard
4950 - Windows brannmurinnstillinger er endret
4951 - Regelen har blitt ignorert fordi hovedversjonsnummeret ikke gjenkjennes av Windows-brannmuren
4952 - Fordi hovedversjonsnummeret ikke gjenkjennes av Windows Firewall, har noen av reglene blitt ignorert, og resten av reglene vil bli håndhevet
4953 - Regler ignoreres fordi Windows Firewall ikke kan løse regler
4954 - Windows brannmur gruppepolicy-innstillinger er endret og vil bruke de nye innstillingene
4956 - Windows-brannmuren har endret aktive profiler
4957 - Windows-brannmur gjelder ikke for følgende regler
4958 - Fordi oppføringene i denne regelen ikke er konfigurert, vil følgende regler ikke gjelde for Windows-brannmuren:
6144 - Sikkerhetspolicy i gruppepolicy-objektet er vellykket håndhevet
6145 - En eller flere feil oppstår ved behandling av en sikkerhetspolicy i et gruppepolicyobjekt
4670 - Tillatelser på et objekt er endret
Bruk av revisjonsprivilegier
4672 - Tildel rettigheter til nye innlogginger
4673 - Forespørsel om privilegerte tjenester
4674 - Forsøk på å forsøke en operasjon på et privilegert objekt
Revisjonssystemhendelser
5024 - Windows-brannmurtjenesten har startet vellykket
5025 - Windows brannmurtjenester er stoppet
5027 - Windows Firewall-tjenesten klarer ikke å hente sikkerhetspolicyer fra lokal lagring, og tjenesten vil fortsette å håndheve gjeldende policy
5028 - En ny sikkerhetspolicy som Windows-brannmurtjenesten ikke kan løse og vil fortsette å håndheve den nåværende policyen
5029 - Windows-brannmurtjenesten klarer ikke å initialisere drivere, som vil fortsette å håndheve gjeldende policy
5030 - Windows brannmurtjeneste starter ikke
5032 - Windows-brannmuren klarer ikke å varsle brukeren om at den blokkerer et program som mottar en innkommende tilkobling
5033 - Windows brannmurdriveren startet vellykket
5034 - Windows-brannmurdriveren har stoppet
5035 - Windows-brannmurdriveren starter ikke
5037 - Windows brannmurdriver oppdager kritisk løpende feil, avslutter.
4608 - Windows starter
4609 - Windows slår seg av
4616 - Systemtiden endres
4621 - Administrator henter tilbake systemet fra CrashOnAuditFail, ikke-administratorbrukere kan nå logge inn, noe revisjonsaktivitet kan ikke logges
4697 - Installere en server i systemet
4618 - Overvåk sikkerhetshendelsesmønster har oppstått
|
Publisert på 07.05.2018 15:44:05
|
|
|
|
Publisert på 08.05.2018 11:39:53
|
