Под Windows 2008:
Панель управления - >Просмотр журналов событий - > Просмотрщик событий (локальный) - >Логи Windows - > Безопасность, список справа покажет всю информацию о безопасности, и вы сможете её найтиИдентификатор инцидента — 4776После нажатия на него следует имя хоста клиента Windows, который входит в компьютер.
Кроме этого:
Windows2003
Место для просмотра удалённых логов входа в целом похоже на то, что выше, ноИдентификатор события отличается от того, что в Windows 2008,В Windows 2003 ID события представления — 528IP-адрес после «Исходного сетевого адреса» — это IP-адрес Windows-клиента, который входит в систему.
Распространённые идентификаторы событий Windows следующие
Доступ к сервису аудиторских каталогов
4934 - Свойства объектов Active Directory копируются
4935 - Копирование не запускается
4936 — Воспроизведение не завершилось
5136 - Объект службы каталога был изменён
5137 — Объект службы каталога создан
5138 - Объект службы каталога был удалён
5139 - Объект службы каталога перемещён
5141 - Объект службы каталога удален
4932 - Запущена синхронизация реплики AD для именованного контекста
4933 - Синхронизация копирования AD для именованного контекста завершена
События входа в аудит
4634 - Аккаунт аннулирован
4647 - Пользователь инициирует выход из игры
4624 — Аккаунт успешно вошёл в систему
4625 - Неудачный вход в аккаунт
4648 - Попытка войти с явными учётными данными
4675 - SID фильтруется
4649 - Обнаружены повторные атаки
4778 — Сессия снова подключается к Window Station
4779 — Сессия отключается от станции Window
4800 – Рабочая станция заблокирована
4801 — Рабочая станция разблокирована
4802 - Включена заставка
4803 - Заставка экрана отключена
Представитель сертификата, требуемый по статье 5378, не допускается по политике
5632 Требует валидации беспроводных сетей
5633 Требуется валидация проводных сетей
Доступ к объекту аудита
5140 — Доступ к объекту совместного использования сети
4664 — Попытка создать жёсткую ссылку
4985 — Статус транзакции изменился
5051 — Файл виртуализирован
5031 - Служба межсетевого экрана Windows не позволяет приложению получать входящие соединения из сети
4698 - Создана запланированная задача
4699 - Запланированная задача удалена
4700 — Запланированные задачи включены
4701 — Запланированная задача деактивирована
4702 - Обновлены запланированные задачи
4657 - Значения реестра изменяются
5039 - Ключи реестра виртуализированы
4660 - Объект удален
4663 — Попытка получить доступ к объекту
Изменения в политике аудита
4715 - Политика аудита (SACL) на объекте изменилась
4719 - Изменение политики аудита системы
4902 — Создана форма политики аудита для каждого пользователя
4906 - Значение CrashOnAuditFail изменилось
4907 - Настройки аудита объекта были изменены
4706 - Создан новый траст на домен
4707 - Доверительное управление доменом было удалено
4713 — Политика Кербероса изменилась
4716 - Информация домена доверия изменена
4717 - Аккаунт с предоставленным системным безопасным доступом
4718 - Доступ к системной безопасности удален из аккаунта
4864 – Столкновения в пространстве имён удалены
4865 - Добавлена запись о лесу Trust
4866 - Доверенная запись о лесной информации удалена
4867 - Запись информации о лесу доверия отменена
4704 - Присвоены права пользователя
4705 - Права пользователей удалены
4714 - Политика восстановления зашифрованных данных отменена
4944 — Следующая политика активируется при включении межсетевого экрана Windows
4945 — Включите правило при включении Firewall Windows
4946 - Изменение списка исключений для межсетевого экрана Windows для добавления правил
4947 - Список исключений для файрвола Windows изменён с изменением правил
4948 - Список исключений для файрвола Windows изменен с удалением правил
4949 — настройки межсетевого экрана Windows восстановлены до стандартных
4950 - Настройки межсетевого экрана Windows были изменены
4951 — Правило было проигнорировано, так как основной номер версии не распознается Windows Firewall
4952 — Поскольку основной номер версии не распознается Windows Firewall, некоторые правила были проигнорированы, а остальные будут применяться
4953 — Правила игнорируются, потому что Firewall Windows не может разрешать правила
4954 - Настройки групповой политики Firewall Windows были изменены и будут использовать новые настройки
4956 - Файрвол Windows изменил активные профили
4957 - Межсетевой экран Windows не применяется к следующим правилам
4958 — Поскольку записи, участвующие в этом правиле, не настроены, следующие правила не будут применяться к Windows-Файрволу:
6144 — Политика безопасности в объекте Group Policy успешно реализована
6145 - Одна или несколько ошибок возникают при обработке политики безопасности в объекте групповой политики
4670 — Разрешения объекта изменены
Использование прав аудита
4672 - Присваивать привилегии новым входам
4673 - Запрос на привилегированные услуги
4674 — Попытка выполнить операцию над привилегированным объектом
События системы аудита
5024 — Сервис Firewall Windows успешно запущен
5025 - Сервисы фаервола Windows остановлены
5027 — Сервис Firewall Windows не может получить политики безопасности из локального хранилища, и сервис продолжит обеспечивать соблюдение текущей политики
5028 — новая политика безопасности, которую сервис Firewall Windows не может устранить и которая продолжит обеспечивать соблюдение текущей политики
5029 — Сервис Firewall Windows не инициализирует драйверы, что продолжит применять текущую политику
5030 - Сервис межсетевого экрана Windows не запускается
5032 — Межсетевой экран Windows не уведомляет пользователя о блокировке приложения, получающего входящее соединение
5033 - Драйвер межсетевого экрана Windows успешно запущен
5034 - Драйвер межсетевого экрана Windows остановлен
5035 - Драйвер межсетевого экрана Windows не запускается
5037 - Драйвер межсетевого экрана Windows обнаруживает критическую ошибку запуска, завершает работу.
4608 — Windows запускается
4609 - Windows выключается
4616 — Системное время изменяется
4621 — Администратор возвращает систему из CrashOnAuditFail, теперь пользователи без администраторов могут войти, часть активности аудита может не быть зарегистрирована
4697 - Установка сервера в систему
4618 - Возник паттерн мониторинга событий безопасности
|
Опубликовано 07.05.2018 15:44:05
|
|
|
|
Опубликовано 08.05.2018 11:39:53
|
