关于Server2008 R2日志的查看

Server 2008 r2通过 系统事件查看器 分析日志:

查看 系统 事件:

事件ID号

审计目录服务访问

4934 - Active Directory 对象的属性被复制

4935 -复制失败开始

4936 -复制失败结束

5136 -目录服务对象已修改

5137 -目录服务对象已创建

5138 -目录服务对象已删除

5139 -目录服务对象已经移动

5141 -目录服务对象已删除

4932 -命名上下文的AD的副本同步已经开始

4933 -命名上下文的AD的副本同步已经结束

审计登录事件

4634 - 帐户被注销

4647 - 用户发起注销

4624 - 帐户已成功登录

4625 - 帐户登录失败

4648 - 试图使用明确的凭证登录

4675 - SID被过滤

4649 - 发现重放攻击

4778 - 会话被重新连接到Window Station

4779 - 会话断开连接到Window Station

4800 – 工作站被锁定

4801 - 工作站被解锁

4802 - 屏幕保护程序启用

4803 - 屏幕保护程序被禁用

5378 - 所要求的凭证代表是政策所不允许的

5632 - 要求对无线网络进行验证

5633 - 要求对有线网络进行验证

审计对象访问

5140 - 网络共享对象被访问

4664 - 试图创建一个硬链接

4985 - 交易状态已经改变

5051 - 文件已被虚拟化

5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接

4698 - 计划任务已创建

4699 - 计划任务已删除

4700 - 计划任务已启用

4701 - 计划任务已停用

4702 - 计划任务已更新

4657 - 注册表值被修改

5039 - 注册表项被虚拟化

4660 - 对象已删除

4663 - 试图访问一个对象

审计政策变化

4715 - 对象上的审计政策(SACL)已经更改

4719 - 系统审计政策已经更改

4902 - Per-user审核政策表已经创建

4906 - CrashOnAuditFail值已经变化

4907 - 对象的审计设置已经更改

4706 - 创建到域的新信任

4707 - 到域的信任已经删除

4713 - Kerberos政策已更改

4716 - 信任域信息已经修改

4717 - 系统安全访问授予帐户

4718 - 系统安全访问从帐户移除

4864 - 名字空间碰撞被删除

4865 - 信任森林信息条目已添加

4866 - 信任森林信息条目已删除

4867 - 信任森林信息条目已取消

4704 - 用户权限已分配

4705 - 用户权限已移除

4714 - 加密数据复原政策已取消

4944 - 当开启Windows Firewall时下列政策启用

4945 - 当开启Windows Firewall时列入一个规则

4946 - 对Windows防火墙例外列表进行了修改,添加规则

4947 - 对Windows防火墙例外列表进行了修改,规则已修改

4948 - 对Windows防火墙例外列表进行了修改,规则已删除

4949 - Windows防火墙设置已恢复到默认值

4950 - Windows防火墙设置已更改

4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视

4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分

4953 - 因为Windows防火墙不能解析规则,规则被忽略

4954 - Windows防火墙组政策设置已经更改,将使用新设置

4956 - Windows防火墙已经更改主动资料

4957 - Windows防火墙不适用于以下规则

4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:

6144 - 组策略对象中的安全政策已经成功运用

6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误

4670 - 对象的权限已更改

审计特权使用

4672 - 给新登录分配特权

4673 - 要求特权服务

4674 - 试图对特权对象尝试操作

审计系统事件

5024 - Windows防火墙服务已成功启动

5025 - Windows防火墙服务已经被停止

5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策

5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策

5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策

5030 - Windows防火墙服务无法启动

5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序

5033 - Windows防火墙驱动程序已成功启动

5034 - Windows防火墙驱动程序已经停止

5035 - Windows防火墙驱动程序未能启动

5037 - Windows防火墙驱动程序检测到关键运行错误,终止。

4608 - Windows正在启动

4609 - Windows正在关机

4616 - 系统时间被改变

4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录

4697 - 系统中安装服务器

4618 - 监测安全事件样式已经发生

Windows登录类型

登录类型2:交互式登录(Interactive):就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。

登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。

登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。

登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。

登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。

登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。

登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

Server 2008 r2通过 系统事件查看器 分析日志:

查看系统事件:

原文地址:https://www.cnblogs.com/smlile-you-me/p/11601856.html

时间: 2024-11-05 18:37:26

关于Server2008 R2日志的查看的相关文章

SQL SERVER2008历史日志查询

有需要找个工具能够查询sql server历史操作日志,比如误删除,误操作等,网上搜了好多,没有一个靠谱的.当然排除自己写sql记录操作日志,俺不懂sql语言.有可用的工具求推荐,感谢. log explorer for sql server 支持到SQL2005,以上不支持. sql server自带的管理--sql server日志 记录的登录和错误日志 强大的sql server profiler 主要作为实时分析进程或排错来用,不能查询历史日志,除非一直开着 查询transaction

SQL Server2008 R2 数据库镜像实施手册(双机)SQL Server2014同样适用

这篇文章主要介绍了SQL Server2008 R2 数据库镜像实施手册(双机)SQL Server2014同样适用,需要的朋友可以参考下 一.配置主备机 1. 服务器基本信息 主机名称为:HOST_A,IP地址为:192.168.1.155 备机名称为:HOST_B,IP地址为:192.168.1.156 二.主备实例互通 实现互通可以使用域或证书来实现,考虑实现的简单,以下选取证书的方式实现.注意:实现"主备数据库实例互通"的操作只需要做一次,例如为了将两个SQL Server 2

日志分析查看——grep,sed,sort,awk运用

概述 我们日常应用中都离不开日志.可以说日志是我们在排查问题的一个重要依据.但是日志并不是写了就好了,当你想查看日志的时候,你会发现线上日志堆积的长度已经超越了你一行行浏览的耐性的极限了.于是,很有必要通过一些手段来高效地辅助你来快速的从日志中找到你要找的问题.本文通过一个从项目中衍生出来的例子从查找日志,筛选日志和统计日志3个方面层层递进来简述日志文件查看中一些有用的手段.(注:在linux环境下) 目录 0.查找关键日志grep 1.查找关键日志grep 2.精简日志内容 sed 3.对记录

MYSQL启用日志,查看日志

MYSQL启用日志,查看日志 MYSQL启用日志 [[email protected]]# whereis my.ini [[email protected]]# vi /etc/my.cnf [mysqld] datadir=/var/lib/mysql socket=/var/lib/mysql/mysql.sock user=mysql # Default to using old password format for compatibility with mysql 3.x # cli

window server2008 r2 限制远程访问用户数量

在服务器端设置 修改组策略 1,开始-运行-gpedit.msc-计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-限制连接数量-开启并改为1 window server2008 r2 限制远程访问用户数量,布布扣,bubuko.com

sql server2008 R2打开报错:无法识别的配置节 system.serviceModel解决办法分享

本人是先安装的sql server2008 R2成功可以运行后,再安装VS2010成功后,再打开sql server2008,就出现以下错误,无法连接服务器. 无法识别的配置节 system.serviceModel. (C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Config\machine.config line 134) (System.Configuration) ------------------------------ 通过网上搜索和

windows server2008 r2 下启用 sqlserver 2008的远程连接

首先说明,本文转自互联网. TMD 花了二天,终于找到怎么开启这个远程连接了.....娘的,累死了,写下来,希望能帮助同胞们... 用win server 2008 r2 和sql server 2008 搭平台,sql 2008不能远程连接,解决的办法如下: 1. 启用 sql 2008 服务器的tcpip.打开服务器配置工具sscm,单击“sql server网络配置”下的协议,这里会列出服务器的实例名称,在右边双击tcpip,启用项选择是. 2. 在“ip地址”中选择下面的“ipall”配

SQL Server2008 R2开启远程连接总结

============================== SQL Server2008 R2开启远程连接(最全总结) ============================== 安装过程:适用Windows XP SP3.Windows7.Windows Server2008 R2.Windows8.Windows10 1.安装Visual Studio2010旗舰版 2.安装Visual Studio2010 SP1 3.安装SQL Server2008 R2管理工具 =========

cocos2d-js 写日志log 查看日志log Android调试查看log

1 输出日志的方式,当然是cc.log了 2 如何查看日志?        a)如果小程序可以先在浏览器上跑,例如用chrome,在控制台就可以看到输出的log:        b)如果在真机上调试,就需要用log工具了.Android上使用logcat.   3 Android调试使用logcat的办法 logcat位置:Android SDK目录中 D:\AndroidDevelopTools\sdk\platform-tools 查看步骤: 连接手机 cmd方式打开logcat:adb.e