2024年4月29日发(作者:)
Windows事件日志详解
windows 安全日志时,经常发现登录类型的值不同。有2,3,5,8等。最常见的类型是 2 (交互式)
和 3 (网络)。
下面详细列出了可能的登录类型值
登录类型2:交互式登录(Interactive)
这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就
是在本地键盘上进行的登录。
登录类型3:网络(Network)
当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共
享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的
IIS登录是个例外,它将被记为类型8,下面将讲述。
成功的网络登录:
用户名:
域:
登录 ID: (0x2,0xFC38EC05)
登录类型: 3
登录过程: NtLmSsp
身份验证数据包: NTLM
工作站名: 098B11CAF05E4A0
登录 GUID: -
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: -
传递服务: -
源网络地址: 192.168.197.35
源端口: 0
调用方进程名称: %16
登录类型4:批处理(Batch)
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能
在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型
发布评论