Під Windows 2008:
Панель керування - >Переглянути журнали подій - > Переглядач подій (локальний) - >Windows Logs - > Безпека, список справа покаже всю інформацію про безпеку, і тоді ви зможете її знайтиІдентифікатор інциденту — 4776Після натискання на нього з'являється ім'я хоста Windows-клієнта, який входить у комп'ютер.
Окрім цього:
Windows2003
Місце для перегляду логів для віддаленого входу по суті схоже на те, що вище, алеІдентифікатор події відрізняється від того, що в Windows 2008,Windows 2003 — це ID події перегляду — 528IP-адреса після «Вихідної мережевої адреси» — це IP-адреса клієнта Windows, який входить у систему на комп'ютер.
Поширені ідентифікатори подій Windows такі:
Доступ до сервісу аудиторських каталогів
4934 - Властивості об'єктів Active Directory копіюються
4935 - Копіювання не запускається
4936 — Реплікація не завершилася
5136 - Об'єкт служби каталогу було змінено
5137 - Об'єкт сервісу каталогу створено
5138 - Об'єкт служби каталогу видалено
5139 - Об'єкт сервісу каталогу переміщено
5141 - Об'єкт сервісу каталогу видалено
4932 - Розпочато синхронізацію репліки AD для іменованого контексту
4933 - Синхронізація копіювання AD для іменного контексту завершена
Події входу в аудит
4634 - Обліковий запис скасовано
4647 - Користувач ініціює вихід
4624 - Обліковий запис успішно увійдено
4625 - Вхід до акаунта невдано
4648 - Спроба увійти з явними обліковими даними
4675 - SID фільтрується
4649 - Виявлено повторні атаки
4778 - Сесія знову підключена до станції Window
4779 - Сесія відключається від станції Window
4800 – Робоча станція заблокована
4801 - Робоча станція розблокована
4802 - Увімкнено заставку
4803 - Заставка екрана вимкнена
Представник сертифіката, який вимагає 5378, не дозволений політикою
5632 Потребує валідації бездротових мереж
5633 Вимагає валідації дротових мереж
Доступ до об'єкта аудиту
5140 - Доступ до об'єкта мережевого спільного використання
4664 - Спроба створити жорстке посилання
4985 - Статус транзакції змінився
5051 - Файл віртуалізовано
5031 - Служба міжмережевого екрану Windows запобігає застосунку отримувати вхідні з'єднання з мережі
4698 - Створено заплановане завдання
4699 - Заплановане завдання видалено
4700 - Заплановані завдання увімкнені
4701 - Заплановане завдання деактивовано
4702 - Оновлено заплановані завдання
4657 - Значення реєстру змінено
5039 - Ключі реєстру віртуалізуються
4660 - Об'єкт видалено
4663 - Спроба отримати доступ до об'єкта
Зміни в аудиторській політиці
4715 - Політика аудиту (SACL) щодо об'єкта змінилася
4719 - Політика аудиту системи змінена
4902 - Створено форму політики аудиту для кожного користувача
4906 - Значення CrashOnAuditFail змінилося
4907 - Налаштування аудиту об'єкта змінено
4706 - Створено новий траст домену
4707 - Довіра до домену була скасована
4713 - Політика Кербероса змінилася
4716 - Інформація домену довіри була змінена
4717 - Обліковий запис із захищеним доступом до системи
4718 - Доступ до безпеки системи видалено з облікового запису
4864 – Колізії у просторі імен видалено
4865 - Додано інформаційний запис Trust Forest
4866 - Запис про довірену лісову інформацію видалено
4867 - Запис про інформацію про ліс Trust скасовано
4704 - Призначені права користувача
4705 - Права користувачів видалені
4714 - Політика відновлення зашифрованих даних скасовано
4944 - Наступна політика активується, коли увімкнено міжмережевий екран Windows
4945 - Включіть правило, коли увімкнено міжмережевий екран Windows
4946 - Зміна списку винятків міжмережевого екрану Windows для додавання правил
4947 - Список винятків для міжмережевого екрану Windows змінено з модифікацією правил
4948 - Список винятків для міжмережевого екрану Windows змінено, правило видалено
4949 - Налаштування міжмережевого екрану Windows відновлені до стандартного стану
4950 - Налаштування міжмережевого екрану Windows були змінені
4951 - Правило ігнорує, оскільки основний номер версії не розпізнається Windows Firewall
4952 - Оскільки основний номер версії не розпізнається Windows Firewall, деякі правила були проігноровані, а решта правил буде застосовуватися
4953 - Правила ігноруються, оскільки міжмережевий екран Windows не може розв'язувати правила
4954 - Налаштування групової політики міжмережевого екрану Windows були змінені і будуть використовувати нові налаштування
4956 - Міжмережевий екран Windows змінив активні профілі
4957 - Міжмережевий екран Windows не застосовується до наступних правил
4958 - Оскільки записи, що залучені до цього правила, не налаштовані, наступні правила не застосовуються до міжмережевого екрану Windows:
6144 - Політика безпеки в об'єкті Group Policy успішно виконана
6145 - Одна або кілька помилок виникають при обробці політики безпеки в об'єкті Group Policy
4670 - Дозволи на об'єкт змінено
Використання привілеїв аудиту
4672 - Присвоїти привілеї новим логінам
4673 - Запит на привілейовані послуги
4674 - Спроба виконати операцію над привілейованим об'єктом
Події системи аудиту
5024 - Сервіс Firewall Windows успішно запущено
5025 - Сервіси міжмережевого екрану Windows припинено
5027 - Служба міжмережевого екрану Windows не може отримувати політики безпеки з локального сховища, і сервіс продовжить застосовувати поточну політику
5028 - Нова політика безпеки, яку служба міжмережевого екрану Windows не може вирішити і яка й надалі забезпечуватиме застосування чинної політики
5029 - Сервіс міжмережевого екрану Windows не ініціалізує драйвери, що й надалі забезпечуватиме застосування поточної політики
5030 - Сервіс міжмережевого екрану Windows не запускається
5032 - Міжмережевий екран Windows не повідомляє користувача про блокування додатку, який отримує вхідне з'єднання
5033 - Драйвер міжмережевого екрану Windows успішно запущений
5034 - Драйвер міжмережевого екрану Windows припинив роботу
5035 - Драйвер міжмережевого екрану Windows не запускається
5037 - Драйвер міжмережевого екрану Windows виявляє критичну помилку запуску, припиняє роботу.
4608 - Windows запускається
4609 - Windows вимикається
4616 - Системний час змінюється
4621 - Адміністратор повертає систему після CrashOnAuditFail, тепер користувачі, які не є адміністраторами, можуть увійти, частина аудиторської активності може не бути зареєстрована
4697 - Встановлення сервера в систему
4618 - Виник патерн подій безпеки монітора
|
Опубліковано 07.05.2018 15:44:05
|
|
|
|
Опубліковано 08.05.2018 11:39:53
|
