2024年4月29日发(作者:)

Windows事件日志详解

windows 安全日志时,经常发现登录类型的值不同。有2,3,5,8等。最常见的类型是 2 (交互式)

和 3 (网络)。

下面详细列出了可能的登录类型值

登录类型2:交互式登录(Interactive)

这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就

是在本地键盘上进行的登录。

登录类型3:网络(Network)

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共

享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的

IIS登录是个例外,它将被记为类型8,下面将讲述。

成功的网络登录:

用户名:

域:

登录 ID: (0x2,0xFC38EC05)

登录类型: 3

登录过程: NtLmSsp

身份验证数据包: NTLM

工作站名: 098B11CAF05E4A0

登录 GUID: -

调用方用户名: -

调用方域: -

调用方登录 ID: -

调用方进程 ID: -

传递服务: -

源网络地址: 192.168.197.35

源端口: 0

调用方进程名称: %16

登录类型4:批处理(Batch)

当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能

在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型