Windows 系统事件类型
简介
早期版本中 Windows 日志只有,应用程序,安全,系统和 Setup,新的版本中增加了设置及转发事件日志(默认禁用)。
系统内置的三个核心日志文件(System,Security 和 Application)默认大小均为 20480KB(20MB),记录事件数据超过 20MB 时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为 1024KB,超过最大限制也优先覆盖过期的日志记录。
登录成功不代表一定是 rdp 登录,所有事件的登录类型都是 4624
方法论
- 通常是通过在事件查看器中:筛选当前日志->事件 ID 写 4624 等
Windows 事件类型(级别)
| 级别 | 含义 |
|---|---|
| 信息(Information) | 信息事件指应用程序、驱动程序或服务的成功操作的事件。 |
| 警告(Warning) | 警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。 |
| 错误(Error) | 错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。 |
| 成功审核(Success audit) | 成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。 |
| 失败审核(Failure audit) | 失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。 |
事件日志存储位置
| 类型 | 事件类型 | 描述 | 文件名 |
|---|---|---|---|
| Windows 日志 | 系统 | 包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复 IP 地址,系统进程的启动,停止及暂停等行为。 | System.evtx |
| 安全 | 包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。 | Security.evtx | |
| 应用程序 | 包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。 | Application.evtx | |
| 类型 | 事件类型 | 描述 | 文件名 |
|---|---|---|---|
| 应用程序及服务日志 | Microsoft | Microsoft 文件夹下包含了 200 多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志 | 详见日志存储目录对应文件 |
| Windows PowerShell | Windows 自带的 PowerShell 应用的日志信息。 | Windows PowerShell.evtx | |
| Internet Explorer | IE 浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。 | Internet Explorer.evtx |
%SystemRoot% 为系统环境变量,默认值在
C:/WINDOWS
事件 ID 及含义
| 事件 ID | 说明 |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号成功登录 |
| 4625 | 账号登录失败 |
| 4768 | Kerberos 身份验证(TGT 请求) |
| 4769 | Kerberos 服务票证请求 |
| 4776 | NTLM 身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全组的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全组的通用组中 |
| 4757 | 将成员从启用安全组的通用组中移除 |
| 4719 | 系统审计策略修改 |
| 104 | 所有审计日志清除事件 |
| 4727、4737、4739、4762 | 表示当用户组发生添加、删除时或组内添加成员时生成该事件 |
| 4688 | 表示创建进程,本地执行 exe |
| 4741 | 计算机账户已创建 |
| 4742 | 计算机账户已更改 |
| 4723 | 尝试更改账户密码 |
| 4724 | 尝试重置账户密码 |
| 4726 | 用户账户已被删除 |
| 4672 | 使用管理员(或者超级用户)进行登录 |
五种事件类型中,最为重要的就是成功审核(Success Audit),所有登录成功都会被标注为成功审核
| 登录类型 | 描述 | 说明 |
|---|---|---|
| 2 | 交互式登录(Interactive) | 用户在本地进行登录 |
| 3 | 网络(Network) | 常见的情况就是连接到共享文件夹或共享打印机时,如 SMB 爆破——蠕虫病毒 |
| 4 | 批处理(Batch) | 通常表示某计划任务正在启动 |
| 5 | 服务(service) | 每种服务都被配置在某个特定的用户账号下运行 |
| 6 | 不支持 | |
| 7 | 解锁(Unlock) | 屏保解锁。 |
| 8 | 网络明文(NetworkCleartext) | 登录的密码在网络上是通过明文传输的,如 FTP |
| 9 | 新凭证(NewCredentials) | 使用带/Netonly 参数的 RUNAS 命令运行一个程序 |
| 10 | 远程交互(RemoteInteractive) | 通过终端服务、远程桌面或远程协助访问计算机,如 RDP 爆破——勒索病毒 |
| 11 | 缓存交互(CachedInteractive) | 以一个域用户登录而又没有域控制器可用 |
文件共享 ID(端口 445)
文件共享对应事件 ID
| ID | 含义 |
|---|---|
| 5140 | 访问了网络共享对象 |
| 5141 | 目录服务对象已删除 |
| 5142 | 添加了网络共享对象 |
| 5143 | 网络共享对象已被修改 |
| 5144 | 网络共享对象已删除 |
| 5145 | 检查网络共享对象以查看是否可以向客户端授予所需的访问权限,及详细的共享访问 |
Windows 系统事件类型