Pod Windows 2008:
Nadzorna plošča - >Ogled dnevnikov dogodkov - > Pregledovalnik dogodkov (lokalno) - >Windows dnevniki - > Varnost, seznam na desni bo prikazal vse varnostne informacije, nato jih boste našliID dogodka je 4776Po kliku nanj sledi "Source Workstation:" ime gostitelja Windows odjemalca, ki se prijavi v napravo.
Poleg tega:
Windows2003
Prostor za ogled dnevnikov prijave na daljavo je v bistvu podoben zgornjemu, vendarID dogodka ni enak kot v Windows 2008,Windows 2003 je ID dogodka za ogled 528IP naslov za "Izvorni omrežni naslov" je IP naslov Windows odjemalca, ki se prijavi na napravo.
Pogosti ID-ji dogodkov v Windows so naslednji
Dostop do storitev revizijskih imenikov
4934 - Lastnosti objektov Active Directory so kopirane
4935 - Kopiranje se ne začne
4936 - Replikacija se ni končala
5136 - Objekt storitve imenika je bil spremenjen
5137 - Ustvarjen je bil objekt storitve imenika
5138 - Objekt storitve imenika je bil izbrisan
5139 - Objekt storitve imenika je bil premaknjen
5141 - Izbrisan objekt storitve imenika
4932 - Začela se je replika sinhronizacija AD za poimenovani kontekst
4933 - Sinhronizacija kopiranja AD za poimenovani kontekst je končana
Dogodki prijave v revizijo
4634 - Račun je preklican
4647 - Uporabnik začne odjavo
4624 - Račun je bil uspešno prijavljen
4625 - Prijava računa ni uspela
4648 - Poskus prijave z eksplicitnimi poverilnicami
4675 - SID je filtriran
4649 - Najdeni ponovitveni napadi
4778 - Seja je ponovno povezana z Window Station
4779 - Seja se prekine z Window Station
4800 – Delovna postaja je zaklenjena
4801 - Delovna postaja je odklenjena
4802 - Omogočen ohranjevalnik zaslona
4803 - Ohranjevalnik zaslona je onemogočen
Predstavnik potrdil, ki ga zahteva 5378, po pravilniku ni dovoljen
5632 Zahteva validacijo brezžičnih omrežij
5633 Zahteva validacijo žičnih omrežij
Dostop do objektov za revizijo
5140 - Dostopa se do objekta omrežnega deljenja
4664 - Poskus ustvarjanja trde povezave
4985 - Status transakcije se je spremenil
5051 - Datoteka je bila virtualizirana
5031 - Storitev požarnega zidu Windows preprečuje, da bi aplikacija prejemala vhodne povezave iz omrežja
4698 - Ustvarjena je bila načrtovana naloga
4699 - Načrtovana naloga izbrisana
4700 - Omogočene so načrtovane naloge
4701 - Načrtovana naloga je deaktivirana
4702 - Posodobljena načrtovana opravila
4657 - Vrednosti registra so spremenjene
5039 - Registrski ključi so virtualizirani
4660 - Objekt izbrisan
4663 - Poskus dostopa do objekta
Spremembe revizijske politike
4715 - Politika revizije (SACL) na objektu se je spremenila
4719 - Spremenjena politika sistemskega pregleda
4902 - Ustvarjen je bil obrazec za revizijo na uporabnika
4906 - Vrednost CrashOnAuditFail se je spremenila
4907 - Nastavitve revizije za objekt so bile spremenjene
4706 - Ustanovljen nov sklad za domeno
4707 - Zaupanje domeni je bilo odstranjeno
4713 - Politika glede Kerberosa se je spremenila
4716 - Informacije o domeni zaupanja so bile spremenjene
4717 - Račun za varni dostop sistema
4718 - Sistemski varnostni dostop je odstranjen iz računa
4864 – Trki v imenskem prostoru so bili odstranjeni
4865 - Dodan vnos informacij o gozdu zaupanja
4866 - Vnos zaupanja vrednih gozdnih informacij izbrisan
4867 - Vnos informacij o gozdu zaupanja preklican
4704 - Dodeljena uporabniška dovoljenja
4705 - Uporabniška dovoljenja so bila odstranjena
4714 - Preklicana politika obnove šifriranih podatkov
4944 - Naslednja politika je omogočena, ko je vklopljen Windows požarni zid
4945 - Vključite pravilo, ko je vklopljen Windows požarni zid
4946 - Sprememba seznama izjem za Windows požarni zid za dodajanje pravil
4947 - Seznam izjem za Windows požarni zid spremenjen z modifikacijo pravil
4948 - Seznam izjem za Windows požarni zid spremenjen z odstranjenim pravilom
4949 - Nastavitve požarnega zidu v Windows so bile obnovljene na privzete
4950 - Nastavitve požarnega zidu v Windows so bile spremenjene
4951 - Pravilo je bilo prezrto, ker Windows Firewall ne prepozna glavne številke različice
4952 - Ker Windows Firewall ne prepozna glavne številke različice, so bila nekatera pravila prezrta, preostala pravila pa se bodo izvajala
4953 - Pravila se ignorirajo, ker Windows požarni zid ne more rešiti pravil
4954 - Nastavitve skupinskih politik v Windows požarnem zidu so bile spremenjene in bodo uporabljale nove nastavitve
4956 - Windows požarni zid je spremenil aktivne profile
4957 - Windows požarni zid ne velja za naslednja pravila
4958 - Ker vnosi v tem pravilu niso konfigurirani, naslednja pravila ne veljajo za Windows požarni zid:
6144 - Varnostna politika v objektu skupinske politike je bila uspešno uveljavljena
6145 - Pri obdelavi varnostne politike v objektu skupinske politike se pojavi ena ali več napak
4670 - Dovoljenja za objekt so bila spremenjena
Uporaba privilegijev revizije
4672 - Dodelitev privilegij novim prijavam
4673 - Zahteva za privilegirane storitve
4674 - Poskus operacije na privilegiranem objektu
Dogodki revizijskega sistema
5024 - Storitev požarnega zidu Windows je uspešno zagnana
5025 - Storitve požarnega zidu Windows so bile ustavljene
5027 - Storitev požarnega zidu Windows ne more pridobiti varnostnih politik iz lokalnega shranjevanja, storitev pa bo še naprej uveljavljala trenutno politiko
5028 - Nova varnostna politika, ki je storitev Windows Firewall ne more rešiti in bo še naprej uveljavljala obstoječo politiko
5029 - Storitev požarnega zidu Windows ne inicializira gonilnikov, ki bodo še naprej uveljavljali trenutno politiko
5030 - Windows požarni zid se ne zažene
5032 - Windows požarni zid ne obvesti uporabnika, da blokira aplikacijo, ki prejme vhodno povezavo
5033 - Gonilnik požarnega zidu Windows se je uspešno zagnal
5034 - Gonilnik za Windows požarni zid je prenehal delovati
5035 - Gonilnik požarnega zidu Windows se ne zažene
5037 - Gonilnik požarnega zidu Windows zazna kritično napako pri zagonu in se prekine.
4608 - Windows se začenja
4609 - Windows se zapira
4616 - Sistemski čas je spremenjen
4621 - Administrator ponovno prevzame sistem iz CrashOnAuditFail, ne-administratorski uporabniki se lahko zdaj prijavijo, nekatere revizijske aktivnosti morda niso zabeležene
4697 - Namestitev strežnika v sistem
4618 - Sledi vzorcu varnostnih dogodkov
|
Objavljeno na 7. 05. 2018 15:44:05
|
|
|
|
Objavljeno na 8. 05. 2018 11:39:53
|
