Windows 事件ID + 登录类型 + 服务对应表大全
一、登录与账户活动类(Security 日志)
| 事件ID |
事件名称 |
含义说明 |
对应服务/行为 |
登录类型(如有) |
| 4624 |
登录成功 (An account was successfully logged on) |
成功登录事件 |
所有登录行为(本地、网络、RDP、服务等) |
2、3、4、5、7、10、11 |
| 4625 |
登录失败 (An account failed to log on) |
登录失败事件 |
爆破、密码错误、远程连接失败 |
同上 |
| 4634 |
注销 (An account was logged off) |
用户正常注销 |
用户退出会话、关机 |
|
| 4647 |
用户主动注销 (User initiated logoff) |
用户手动点击“注销” |
本地会话退出 |
|
| 4672 |
分配特权给新登录 (Special privileges assigned to new logon) |
用户登录时被授予管理员权限 |
管理员登录、SYSTEM 登录 |
|
| 4776 |
NTLM 认证 |
NTLM 身份验证请求 |
SMB、RDP、远程连接时 |
|
| 4768 |
Kerberos TGT 请求 |
域控认证 |
域用户登录时(域环境) |
|
| 4769 |
Kerberos 服务票据请求 |
请求服务访问凭证 |
域环境中访问资源 |
|
| 4771 |
Kerberos 认证失败 |
认证失败日志 |
密码错误、账户锁定 |
|
| 4720 |
创建账户 (A user account was created) |
新建用户 |
net user、控制面板 |
|
| 4722 |
启用账户 |
被启用的用户账号 |
管理员操作 |
|
| 4725 |
禁用账户 |
账户被停用 |
管理员安全操作 |
|
| 4726 |
删除账户 |
用户被删除 |
管理员删除账户 |
|
| 4732 |
用户被添加进本地组 |
权限提升迹象 |
加入“Administrators”等 |
|
| 4740 |
账户被锁定 |
连续失败登录导致锁定 |
爆破或输入错误密码 |
|
| 4767 |
账户被解锁 |
管理员或系统解锁 |
手动恢复 |
|
二、登录类型对应服务/场景详细表
| 登录类型 |
登录方式 |
典型服务/进程 |
说明 |
| 2 |
交互式 (Interactive) |
winlogon.exe、userinit.exe |
本地键盘/显示器登录 |
| 3 |
网络 (Network) |
srvsvc.dll、lanmanserver |
文件共享、SMB、远程访问共享资源 |
| 4 |
批处理 (Batch) |
taskeng.exe、schtasks.exe |
计划任务执行脚本或命令 |
| 5 |
服务 (Service) |
services.exe |
Windows 服务自动登录启动时 |
| 7 |
解锁 (Unlock) |
winlogon.exe |
屏幕解锁,非真正登录 |
| 8 |
明文凭证网络登录 (NetworkCleartext) |
w3wp.exe、iis |
某些 Web 服务或旧协议传输明文 |
| 9 |
新凭证 (NewCredentials) |
runas.exe |
使用 runas /netonly 或委派凭证登录 |
| 10 |
远程交互 (RemoteInteractive) |
mstsc.exe、termservice |
RDP 远程桌面、远程控制登录 |
| 11 |
缓存交互 (CachedInteractive) |
winlogon.exe |
域账户离线登录(缓存凭证) |
| 12 |
远程新凭证登录 |
mstsc.exe |
凭证代理或远程代理场景 |
| 13 |
缓存远程交互登录 |
mstsc.exe |
缓存凭证远程登录(极少见) |
三、系统与服务操作类(System 日志)
| 事件ID |
来源 |
含义 |
常见触发 |
| 6005 |
EventLog |
事件日志服务已启动 |
系统启动 |
| 6006 |
EventLog |
事件日志服务已停止 |
系统关机 |
| 6008 |
EventLog |
上次系统异常关机 |
异常断电、崩溃 |
| 7040 |
Service Control Manager |
服务启动类型被修改 |
启动方式更改 |
| 7045 |
Service Control Manager |
新服务被安装 |
恶意持久化常见指标 |
| 7036 |
Service Control Manager |
服务状态变更 |
启动/停止服务 |
| 7000 |
Service Control Manager |
服务启动失败 |
服务损坏或被阻止 |
四、计划任务与命令执行类
| 事件ID |
来源 |
含义 |
对应服务 |
| 4698 |
Microsoft-Windows-TaskScheduler |
创建了新的计划任务 |
taskeng.exe |
| 4699 |
TaskScheduler |
删除任务 |
- |
| 4700 |
TaskScheduler |
启用任务 |
- |
| 4701 |
TaskScheduler |
禁用任务 |
- |
| 4688 |
Detailed Tracking |
新进程被创建 |
任意命令执行行为(非常关键) |
| 4689 |
Detailed Tracking |
进程终止 |
命令执行完毕 |
五、网络连接与远程操作类
| 事件ID |
来源 |
含义 |
对应进程/协议 |
| 5156 |
Windows Filtering Platform |
允许建立网络连接 |
TCP/UDP 会话创建 |
| 5158 |
Filtering Platform |
建立 UDP 会话 |
DNS/ICMP等 |
| 5140 |
Security |
网络共享被访问 |
SMB/共享文件访问 |
| 5142 |
Security |
共享被创建 |
攻击者共享持久化 |
| 5143 |
Security |
共享被修改 |
- |
| 5144 |
Security |
共享被删除 |
- |
六、远程桌面 & 登录追踪
| 事件ID |
来源 |
含义 |
说明 |
| 4624 (Logon Type 10) |
Security |
远程桌面登录成功 |
RDP成功连接 |
| 4625 (Logon Type 10) |
Security |
远程桌面登录失败 |
密码错误/爆破 |
| 4778 |
Microsoft-Windows-TerminalServices-LocalSessionManager |
会话重新连接 |
RDP 断开后恢复 |
| 4779 |
TerminalServices |
会话断开 |
RDP 退出 |
| 1149 |
TerminalServices-RemoteConnectionManager |
远程桌面连接尝试 |
连接阶段(即便失败也记录) |
七、执行命令与脚本追踪(可疑行为)
| 事件ID |
来源 |
含义 |
分析重点 |
| 4688 |
Security |
新进程创建 |
检查命令行参数(cmd、powershell) |
| 4104 |
PowerShell |
执行了脚本块 |
PowerShell 攻击痕迹 |
| 4103 |
PowerShell |
模块加载事件 |
恶意模块注入 |
| 800 |
PowerShell (旧版本) |
执行命令 |
旧版 PS 日志 |
八、安全分析思路
| 日志类型 |
关键ID |
风险判断 |
| 登录爆破 |
4625 多次失败登录 |
检查来源 IP |
| 远程登录 |
4624 + Logon Type 10 |
攻击者使用 RDP |
| 权限提升 |
4672 |
SYSTEM 或管理员登录 |
| 服务持久化 |
7045 |
恶意注册服务 |
| 后门命令执行 |
4688 + PowerShell 4104 |
命令/脚本痕迹 |
| 横向移动 |
4624 + Logon Type 3 |
SMB、WMI、IPC$ |
最后总结一句话
| 分类 |
关键事件ID |
登录类型 |
服务/行为 |
| 本地登录 |
4624 |
2 |
winlogon.exe |
| 远程桌面 |
4624 |
10 |
mstsc.exe |
| 网络共享 |
4624 |
3 |
srvsvc.dll |
| 计划任务 |
4698 / 4624 |
4 |
taskeng.exe |
| 服务启动 |
7045 / 4624 |
5 |
services.exe |
| PowerShell执行 |
4688 / 4104 |
- |
powershell.exe |
| 登录失败 |
4625 |
任意 |
爆破检测重点 |
一、你在 CTF / 应急响应中最常用的事件ID(必须记)
这些是高频+关键,出现几乎必考
| 场景 |
事件ID |
含义 |
建议记忆 |
🧠 攻击场景关联 |
| 远程桌面连接 |
1149 / 4624 (Logon Type 10) |
远程桌面连接 |
⭐⭐ 必记 |
横向移动、远程控制 |
| PowerShell执行 |
4104 |
执行了 PowerShell 脚本块 |
⭐⭐ 必记 |
命令执行、信息收集、持久化 |
| 登录成功 |
4624 |
用户成功登录(本地、远程、服务) |
⭐⭐ 必记 |
初始访问、横向移动 |
| 登录失败 |
4625 |
登录失败(爆破、密码错误) |
⭐⭐ 必记 |
爆破尝试、侦察阶段 |
| 注销 |
4634 / 4647 |
用户注销 |
可识别会话周期 |
活动结束、会话跟踪 |
| 权限提升 |
4672 |
新登录被授予特权(管理员/系统权限) |
⭐⭐ 必记 |
提权阶段、后渗透 |
| 进程创建 |
4688 |
系统启动新进程(命令执行) |
⭐⭐⭐ 必记 |
命令执行、后门运行、恶意脚本 |
| 计划任务创建 |
4698 |
创建计划任务(持久化方式) |
⭐⭐ 必记 |
持久化、定时任务执行 |
| 新建用户 |
4720 |
创建账户 (A user account was created) |
⭐⭐ 必记 |
持久化、后门账户建立 |
| 网络共享访问 |
5140 |
有人访问网络共享 |
⭐ 可记 |
横向移动、文件窃取 |
| 异常关机 |
6008 |
系统异常关闭 |
⭐ 可记 |
清理痕迹、崩溃、攻击中断 |
| 服务创建 |
7045 |
新服务被安装(持久化) |
⭐⭐ 必记 |
持久化、后门注册、自启动 |
这10来个事件ID就是CTF实战分析的核心。
记住它们,你能应对 90% 的 Windows 日志题。
二、理解“事件类型 → ID规律”,不用死记
Windows 日志分为几类:
| 类别 |
范围 |
特征 |
| 登录/认证类 |
46xx |
用户登录、认证、权限 |
| 进程/对象访问类 |
46xx 后半段 |
进程、文件、注册表 |
| 系统/服务类 |
70xx |
服务启动、修改 |
| 计划任务类 |
47xx / 469x |
用户组、任务 |
| 网络/共享类 |
51xx |
SMB、网络访问 |
| PowerShell类 |
410x |
PowerShell 命令执行 |
所以只要你看到:
- 46xx → 登录/认证
- 47xx → 用户账户操作
- 70xx → 服务变更
- 51xx → 网络连接
- 410x → PowerShell活动
即使不记住每一个,也能快速定位分析方向。
三、CTF日志分析题的常见出题套路
| 出题思路 |
典型日志 |
分析关键 |
| 问“攻击者是怎么登录的” |
4624 + Logon Type |
看类型10(RDP) 或 3(网络共享) |
| 问“攻击者创建了什么服务” |
7045 |
看服务名和路径 |
| 问“执行了什么命令” |
4688 + 4104 |
查 cmd.exe, powershell.exe |
| 问“密码爆破次数” |
4625 |
统计同一账户失败次数 |
| 问“添加了什么用户” |
4720 / 4732 |
看新账户名 |
| 问“远程连接时间” |
4624 (Type 10) / 4778 |
查时间字段 |
浙公网安备 33010602011771号