WIN事件id
WIN事件id
Windows日志地址:C:\Windows\System32\winevt\Logs
登录类型 LogonType
我们经常在登录事件里面看到登录类型,不同的登录类型含义如下:
| LogonType | 说明 |
|---|---|
| 1 | 计算机启动时的登录(系统登录) |
| 2 | 通过控制台(console)登录(键盘,KVM服务,或virtual客户端),交互式登录(本地登录) |
| 3 | 网络登录(net use,powershell等)IPC连接、SMB登录 |
| 4 | Batch Logon 批量登录(批处理作业) |
| 5 | Windows Service Logon 服务登录(服务使用的登录) |
| 6 | 代理登录(通过代理服务的登录) |
| 7 | 使用凭证锁屏或者解锁屏幕;RDP会话重连接 |
| 8 | 网络登录时以明文方式发送凭证 |
| 9 | 使用不同于登录用户的凭证— RunAs /netonly |
| 10 | 远程交互登录(Remote Desktop Protocol) |
| 11 | Cached Interactive Logon(缓存的本地登录) |
| 12 | Cached Remote Interactive(类似类型10) |
| 13 | Cached unlock(类似类型7) 缓存凭证解锁屏幕操作 |
事件id EventID
| EventID | 说明 |
|---|---|
| 21 | RDS - Session logon succeeded 指示远程桌面会话(Remote Desktop Session)成功登录的情况 |
| 22 | RDS - File Explorer shell start notification received此事件表示远程桌面会话中已收到文件资源管理器启动的通知 |
| 23 | RDS - Session logoff succeeded远程桌面会话(RDS)成功注销 |
| ------------------------------------------------------------------------------------- | |
| 24 | RDP Session Disconnected 远程用户会话被意外断开 |
| 25 | RDP Session Connected远程桌面协议 (RDP) 会话成功连接的事件 |
| 39 | RDS - Session <A> has been disconnected by session 表示某个特定的远程桌面会话(会话 A)已经被会话管理员(通常是服务或者操作系统)断开 |
| 224 | 远程桌面服务的会话在服务器上超时 |
| 1000 | RDP 服务发生错误的事件,可能显示错误信息以帮助故障排除。 |
| 1006 | RDP 授权失败的事件,通常与安全和认证相关 |
| 1153 | 用户尝试通过网络连接 RDS,但未能成功。 |
| 1149 | User has successfully authenticated an rdp logon表示用户成功通过远程桌面协议 (RDP) 登录认证 |
| 1306 | 显示会话连接的详细信息(RDS 连接状态变化)。 |
| 4624 | 用户成功登录到系统的事件,适用于本地和远程登录。 |
| 4625 | 用户登录失败的事件 |
| 4634 | 注销成功 |
| 4647 | 注销成功 |
| 4648 | 使用显式凭据登录 |
| 4672 | 具有管理员权限的帐户登录,为新登录分配了特殊权限。记录了登陆用户名、登陆用户权限 |
| 4688 | Windows 安全日志中的核心进程创建审计事件,记录系统中每个新进程的启动。非常重要,应急响应常用, xp_cmdshell 执行的命令会触发 |
| 4720 | 创建了一个账户(重点) |
| 4726 | 删除了一个帐户 |
| 4778 | RDP会话重新连接 |
| 4779 | RDP会话结束 |
| 事件ID | 场景(WDF) | 说明 |
|---|---|---|
| 1116 | 检测到恶意命令 | 发现攻击行为但未完全阻止 |
| 1117 | 阻止命令执行 | 已成功拦截并阻止命令运行 |
| 1121 | ASR规则拦截 | 通过攻击面减少规则阻止可疑执行 |
子状态码
账户日志
创建帐户时会记录4720事件。除了创建它的日期和时间以及计算机外,还获得用于授权创建的帐户和详细信息。
- 4722:启用用户帐户
- 4724:尝试重置帐户密码
- 4728:一个成员被添加到启用安全的全局组
- 4732:一个成员被添加到启用安全的本地组
- 4735:启用安全的本地组已更改
- 4738:用户帐户已更改
- 4756:一个成员被添加到启用安全的通用组
帐户登录相关的事件ID:
- 4776:成功/失败帐户认证(NTLM 认证协议)
- 4768:票证授予票据(TGT)被授予(Kerberos认证协议,登录成功)
- 4769:请求服务票据(ST)(Kerberos认证协议,访问服务资源)
- 4771:预认证失败(Kerberos认证协议,登录失败)
sqlserver
| 事件 ID | 来源 | 说明 | 日志文件 |
|---|---|---|---|
| 15457 | MSSQLSERVER | 记录 SQL Server 配置选项的更改,包括 xp_cmdshell 的启用 |
application |
| 18454 | MSSQLSERVER | SQL Server 身份验证登录成功(默认不记录) | application |
| 18456 | MSSQLSERVER | SQL Server 身份验证登录失败 | application |
| 4688 | 攻击者通过 xp_cmdshell 执行的命令会触发 |
security |
浙公网安备 33010602011771号