This Domain(Admin5.com) is for Sale:

Windows登录安全日志解析

时间:2009-04-03  来源:网络  更新时间:2006  作者:老K

'*************************************************************************
' 通过终端登录服务器的日志(管理员帐号登录)
'*************************************************************************
2006-5-9    8:24:01    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x17F4C31B)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate dedecms.com
     工作站名:     COMPUTERNAME "
2006-5-9    8:24:01    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-9    8:23:44    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     Winlogon\MSGina "
copyright dedecms


'*************************************************************************
' AT计划IIS服务重启(脚本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
2006-5-9    7:00:34    Security    成功审核    登录/注销     540    COMPUTERNAME\IUSR_COMPUTERNAME    COMPUTERNAME    "成功的网络登录:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x17BF45CB)
     登录类型:    3
     登录过程:    IIS     
     身份验证程序包:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 本文来自织梦
     工作站名:    COMPUTERNAME "
2006-5-9    7:00:34    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     IUSR_COMPUTERNAME
 工作站: 
     COMPUTERNAME
 "
2006-5-9    7:00:34    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
 
 登录过程名:     \inetinfo.exe " 本文来自织梦
2006-5-9    7:00:16    Security    成功审核    登录/注销     538    COMPUTERNAME\IUSR_COMPUTERNAME    COMPUTERNAME    "用户注销:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x158DFFBF)
     登录类型:    3
 "

'*************************************************************************
' 计划任务运行程序日志(管理员帐号)
'*************************************************************************
2006-5-9    1:08:04    Security    成功审核    登录/注销     538    COMPUTERNAME\clientUserName    COMPUTERNAME    "用户注销:
copyright dedecms

     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x167C8DC4)
     登录类型:    4
 "
2006-5-9    1:00:00    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x167C8DC4)
     登录类型:     4 织梦好,好织梦
     登录过程:     Advapi  
     身份验证程序包:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:     COMPUTERNAME "
2006-5-9    1:00:00    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "

'*************************************************************************
' 从服务器断开后重新连接到服务器
'*************************************************************************
2006-5-4    19:24:24    Security    成功审核    登录/注销     682    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话被重新连接到 winstation:
本文来自织梦

     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    RDP-Tcp#3
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:23    Security    成功审核    登录/注销     683    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
本文来自织梦

     登录 ID:        (0x0,0xA28751E)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:20    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0xA28751E)
     登录类型:     2 内容来自dedecms
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-4    19:24:20    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 帐户名: 
     clientUserName
 工作站: 
     COMPUTERNAME
 "
2006-5-4    19:23:58    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 
本文来自织梦

 
 登录过程名:     Winlogon\MSGina "
2006-5-4    19:22:34    Security    成功审核    登录/注销     683    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "

'*************************************************************************
' 通过Net User/Net LocalGroup等命令添加用户帐号,加入指定组,删除帐号(Win2K3)
dedecms.com

'*************************************************************************
2006-5-9    9:23:06    Security    审核成功    帐户管理     630    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     633    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的全局组成员:

本文来自织梦


     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的本地组:
织梦内容管理系统

     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的本地组: 本文来自织梦
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:21:24    Security    审核成功    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
织梦好,好织梦

     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的本地组成员: 织梦内容管理系统
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     628    COMPUTERNAME\clientUserName    COMPUTERNAME    "设置了用户帐户密码:
     目标帐户名:    mytest copyright dedecms
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     642    COMPUTERNAME\clientUserName    COMPUTERNAME    "更改了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName 内容来自dedecms
     调用方所属域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:        -
 更改的属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值> 
     用户主要名称:    -
     主目录:    <未设置值> 
     主驱动器:    <未设置值> 
     脚本路径:    <未设置值> 
     配置文件路径:    <未设置值> 
     用户工作站:    <未设置值> 
     上一次设置的密码:    2006-5-9 9:17:13 本文来自织梦
     帐户过期:    <从不> 
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    -
     Sid 历史:    -
     登录时间(以小时计):    <值已更改,但未显示> 
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     626    COMPUTERNAME\clientUserName    COMPUTERNAME    "启用了用户帐户:
dedecms.com

     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     624    COMPUTERNAME\clientUserName    COMPUTERNAME    "创建了用户帐户:
     新的帐户名:    mytest
     新域:    COMPUTERNAME
     新帐户标识:    COMPUTERNAME\mytest
本文来自织梦

     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
 %调用方登录 ID:    (0x0,0x2363D)
     特权:        -
 属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值> 
     用户主要名称:    -
     主目录:    <未设置值> 
     主驱动器:    <未设置值> 
     脚本路径:    <未设置值> 
     配置文件路径:    <未设置值> 
     用户工作站:    <未设置值> 

copyright dedecms


     上一次设置的密码:    <从不> 
     帐户过期:    <从不> 
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    <未设置值> 
     Sid 历史:    -
     登录时间:    <值已更改,但未显示> 
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     632    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的全局组成员: 内容来自dedecms
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
'****************************************************************
' Windows 2000
'****************************************************************
2006-5-9    10:01:38    Security    成功审核    帐户管理     630    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了用户帐户:

copyright dedecms


     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
     呼叫方登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:38    Security    成功审核    帐户管理     633    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了安全策略启动的全局组成员:
     成员名称:    -
     成员ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005} 内容来自dedecms
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:38    Security    成功审核    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了安全策略启动的本地组:
     成员名称:    -
     成员 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005} 本文来自织梦
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:38    Security    成功审核    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了安全策略启动的本地组:
     成员名称:    -
     成员 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005} copyright dedecms
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:01:29    Security    成功审核    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了安全策略启动的本地组成员:
     成员名称:    -
     成员ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005} 本文来自织梦
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了安全策略启动的本地组成员:
     成员名称:    -
     成员ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
copyright dedecms

     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     628    COMPUTERNAME\clientUserName    COMPUTERNAME    "设置了用户帐户密码:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005} 织梦内容管理系统
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
     呼叫方登录 ID:    (0x0,0x17F4C31B)
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     642    COMPUTERNAME\clientUserName    COMPUTERNAME    "更改了用户帐户:
     已启用帐户。  
    '不要求密码' - 已禁用
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName

dedecms.com


     呼叫方所属域:    COMPUTERNAME
     呼叫方登录 ID:    (0x0,0x17F4C31B)
     特权:    -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     624    COMPUTERNAME\clientUserName    COMPUTERNAME    "创建了用户帐户:
     新的帐户名:    mytest
     新域:    COMPUTERNAME
     新帐户标识:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     呼叫方用户名:    clientUserName
     呼叫方所属域:    COMPUTERNAME
 %呼叫方登录 ID:    (0x0,0x17F4C31B)
dedecms.com

     特权        -
 "
2006-5-9    10:00:35    Security    成功审核    帐户管理     632    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了安全策略启动的全局组成员:
     成员名称:    -
     成员 ID:    %{S-1-5-21-1220945662-1326574676-725345543-1005}
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     呼叫用户名称:    clientUserName
     呼叫域:    COMPUTERNAME
     呼叫者登录 ID:    (0x0,0x17F4C31B) dedecms.com
     特权:    -
 "
标签云:解析 日志 安全 登录 帐户 目标

看完这篇,您有何感觉呢?

文章评论

共有位Admini5网友发表了评论 查看完整内容

推荐信息

24小时热门信息

最新信息