Pod Windows 2008:
Ovládací panel - >Zobraziť záznamy udalostí - > Event Viewer (lokálne) - >Windows logy - > Bezpečnosť, zoznam vpravo zobrazí všetky bezpečnostné informácie a potom ich nájdeteID incidentu je 4776Po kliknutí na ňu nasleduje "Source Workstation:" názov hostiteľa Windows klienta, ktorý sa prihlasuje do zariadenia.
Okrem toho:
Windows2003
Miesto na zobrazenie vzdialených logov je v podstate podobné tomu vyššie, aleID udalosti nie je rovnaké ako vo Windows 2008,Windows 2003 je zobrazenie udalosti ID 528IP adresa po "Source Network Address" je IP adresa Windows klienta, ktorý sa prihlasuje do zariadenia.
Bežné Windows ID udalostí sú nasledovné
Prístup k službám auditných adresárov
4934 - Vlastnosti objektov Active Directory sa kopírujú
4935 - Kopírovanie sa nespustí
4936 - Replikácia neskončila
5136 - Objekt adresárovej služby bol upravený
5137 - Objekt adresárovej služby bol vytvorený
5138 - Objekt adresárovej služby bol vymazaný
5139 - Objekt adresárovej služby bol presunutý
5141 - Adresárový servisný objekt vymazaný
4932 - Začala sa replika synchronizácie AD pre pomenovaný kontext
4933 - Synchronizácia kopírovania AD pre pomenovaný kontext skončila
Auditné prihlasovacie udalosti
4634 - Účet je zrušený
4647 - Používateľ iniciuje odhlásenie
4624 - Účet bol úspešne prihlásený
4625 - Prihlásenie do účtu zlyhalo
4648 - Pokus o prihlásenie s explicitnými prihlasovacími údajmi
4675 - SID je filtrovaný
4649 - Nájdené opakované útoky
4778 - Relácia je opäť pripojená k Window Station
4779 - Relácia sa odpojí od Window Station
4800 – Pracovná stanica je zamknutá
4801 - Pracovná stanica je odomknutá
4802 - Zapnutý šetrič obrazovky
4803 - Šetrič obrazovky je vypnutý
Certifikátový zástupca požadovaný podľa 5378 nie je podľa politiky povolený
5632 Vyžaduje overenie bezdrôtových sietí
5633 Vyžaduje overenie káblových sietí
Auditný prístup k objektom
5140 - Pristupuje sa k objektu sieťového zdieľania
4664 - Pokus vytvoriť pevné prepojenie
4985 - Stav transakcie sa zmenil
5051 - Súbor bol virtualizovaný
5031 - Windows Firewall Service zabraňuje aplikácii prijímať prichádzajúce pripojenia zo siete
4698 - Bola vytvorená plánovaná úloha
4699 - Plánovaná úloha vymazaná
4700 - Plánované úlohy sú povolené
4701 - Plánovaná úloha je deaktivovaná
4702 - Aktualizované plánované úlohy
4657 - Hodnoty registra sú upravené
5039 - Kľúče registra sú virtualizované
4660 - Objekt odstránený
4663 - Pokus o prístup k objektu
Zmeny v auditnej politike
4715 - Audit Policy (SACL) na objekte sa zmenila
4719 - Zmena politiky systémového auditu
4902 - Bol vytvorený formulár auditnej politiky pre používateľa
4906 - Hodnota CrashOnAuditFail sa zmenila
4907 - Nastavenia auditu pre objekt boli zmenené
4706 - Nový trust vytvorený pre doménu
4707 - Dôvera doméne bola odstránená
4713 - Politika voči Kerberosu sa zmenila
4716 - Dôveryhodné doménové informácie boli upravené
4717 - Udelený účet zabezpečeného prístupu systému
4718 - Prístup k bezpečnosti systému je odstránený z účtu
4864 – Kolízie v menných priestoroch boli odstránené
4865 - Pridaný záznam o informáciách o lesoch Trust
4866 - Záznam o dôveryhodných lesných informáciách vymazaný
4867 - Záznam o informáciách Trust Forest zrušený
4704 - Pridelené používateľské oprávnenia
4705 - Používateľské oprávnenia boli odstránené
4714 - Zrušená politika obnovy šifrovaných dát
4944 - Nasledujúca politika je povolená, keď je zapnutý Windows Firewall
4945 - Zahrňte pravidlo pri zapnutí Windows Firewall
4946 - Modifikácia zoznamu výnimiek Windows Firewall na pridanie pravidiel
4947 - Zoznam výnimiek Windows Firewall upravený úpravou pravidiel
4948 - Zoznam výnimiek Windows Firewall upravený s odstráneným pravidlom
4949 - Nastavenia Windows Firewall boli obnovené na predvolené
4950 - Nastavenia Windows Firewall boli zmenené
4951 - Pravidlo bolo ignorované, pretože hlavné číslo verzie nie je rozpoznávané Windows Firewallom
4952 - Keďže hlavné číslo verzie nie je rozpoznávané Windows Firewallom, niektoré pravidlá boli ignorované a zvyšok pravidiel bude vynucovaný
4953 - Pravidlá sa ignorujú, pretože Windows Firewall nedokáže vyriešiť pravidlá
4954 - Nastavenia skupinových politík Windows Firewall boli zmenené a budú používať nové nastavenia
4956 - Windows firewall zmenil aktívne profily
4957 - Windows Firewall sa nevzťahuje na nasledujúce pravidlá
4958 - Keďže položky zahrnuté v tomto pravidle nie sú nakonfigurované, nasledujúce pravidlá sa na Windows Firewall nevzťahujú:
6144 - Bezpečnostná politika v objekte Group Policy bola úspešne vynútená
6145 - Pri spracovaní bezpečnostnej politiky v objekte skupinovej politiky nastáva jedna alebo viac chýb
4670 - Povolenia na objekte boli zmenené
Použitie auditných privilégií
4672 - Priradenie privilegií novým prihláseniam
4673 - Žiadosť o privilegované služby
4674 - Pokus o operáciu na privilegovanom objekte
Udalosti auditného systému
5024 - Služba Windows Firewall bola úspešne spustená
5025 - Služby Windows firewallu boli zastavené
5027 - Služba Windows Firewall nedokáže získať bezpečnostné politiky z lokálneho úložiska a služba bude naďalej vynucovať aktuálnu politiku
5028 - Nová bezpečnostná politika, ktorú služba Windows Firewall nedokáže vyriešiť a bude naďalej vynucovať súčasnú politiku
5029 - Služba Windows Firewall nedokáže inicializovať ovládače, ktoré budú naďalej vynucovať aktuálnu politiku
5030 - Služba firewallu Windows sa nespustí
5032 - Windows Firewall neupozorní používateľa, že blokuje aplikáciu, ktorá prijíma prichádzajúce pripojenie
5033 - Ovládač Windows Firewall bol úspešne spustený
5034 - Ovládač Windows Firewallu sa zastavil
5035 - Ovládač Windows Firewallu sa nedokáže spustiť
5037 - Ovládač Windows firewallu detekuje kritickú chybu pri behu, ukončí prevádzku.
4608 - Windows sa spúšťa
4609 - Windows sa vypína
4616 - Systémový čas je zmenený
4621 - Administrátor obnovuje systém z CrashOnAuditFail, ne-administrátori sa teraz môžu prihlásiť, niektoré auditné aktivity nemusia byť zaznamenané
4697 - Inštalácia servera do systému
4618 - Vyskytol sa vzorec bezpečnostných udalostí monitorovania
|
Zverejnené 7. 5. 2018 15:44:05
|
|
|
|
Zverejnené 8. 5. 2018 11:39:53
|
