Winserver 2008事件日誌-事件ID詳解
最近在研究伺服器的安全性,發現有未知登入,然後開始研究,當然第一步是需要讀懂事件日誌的,winserver上的事件是按照事件ID來標示的。
審計目錄服務訪問
4934 - Active Directory 物件的屬性被複制
4935 -複製失敗開始
4936 -複製失敗結束
5136 -目錄服務物件已修改
5137 -目錄服務物件已建立
5138 -目錄服務物件已刪除
5139 -目錄服務物件已經移動
5141 -目錄服務物件已刪除
4932 -命名上下文的AD的副本同步已經開始
4933 -命名上下文的AD的副本同步已經結束
審計登入事件
4634 - 帳戶被登出
4647 - 使用者發起登出
4624 - 帳戶已成功登入
4625 - 帳戶登入失敗
4648 - 試圖使用明確的憑證登入
4675 - SID被過濾
4649 - 發現重放攻擊
4778 -會話被重新連線到Window Station
4779 -會話斷開連線到Window Station
4800 – 工作站被鎖定
4801 - 工作站被解鎖
4802 - 螢幕保護程式啟用
4803 -螢幕保護程式被禁用
5378 所要求的憑證代表是政策所不允許的
5632 要求對無線網路進行驗證
5633 要求對有線網路進行驗證
審計物件訪問
5140 - 網路共享物件被訪問
4664 - 試圖建立一個硬連結
4985 - 交易狀態已經改變
5051 - 檔案已被虛擬化
5031 - Windows防火牆服務阻止一個應用程式接收網路中的入站連線
4698 -計劃任務已建立
4699 -計劃任務已刪除
4700 -計劃任務已啟用
4701 -計劃任務已停用
4702 -計劃任務已更新
4657 -登錄檔值被修改
5039 -登錄檔項被虛擬化
4660 -物件已刪除
4663 -試圖訪問一個物件
審計政策變化
4715 - 物件上的審計政策(SACL)已經更改
4719 - 系統審計政策已經更改
4902 - Per-user稽核政策表已經建立
4906 - CrashOnAuditFail值已經變化
4907 - 物件的審計設定已經更改
4706 - 建立到域的新信任
4707 - 到域的信任已經刪除
4713 - Kerberos政策已更改
4716 - 信任域資訊已經修改
4717 - 系統安全訪問授予帳戶
4718 - 系統安全訪問從帳戶移除
4864 - 名字空間碰撞被刪除
4865 - 信任森林資訊條目已新增
4866 - 信任森林資訊條目已刪除
4867 - 信任森林資訊條目已取消
4704 - 使用者許可權已分配
4705 - 使用者許可權已移除
4714 - 加密資料復原政策已取消
4944 - 當開啟Windows Firewall時下列政策啟用
4945 - 當開啟Windows Firewall時列入一個規則
4946 - 對Windows防火牆例外列表進行了修改,新增規則
4947 - 對Windows防火牆例外列表進行了修改,規則已修改
4948 - 對Windows防火牆例外列表進行了修改,規則已刪除
4949 - Windows防火牆設定已恢復到預設值
4950 - Windows防火牆設定已更改
4951 - 因為主要版本號碼不被Windows防火牆承認,規則已被忽視
4952 - 因為主要版本號碼不被Windows防火牆承認,部分規則已被忽視,將執行規則的其餘部分
4953 - 因為Windows防火牆不能解析規則,規則被忽略
4954 - Windows防火牆組政策設定已經更改,將使用新設定
4956 - Windows防火牆已經更改主動資料
4957 - Windows防火牆不適用於以下規則
4958 - 因為該規則涉及的條目沒有被配置,Windows防火牆將不適用以下規則:
6144 - 組策略物件中的安全政策已經成功運用
6145 - 當處理組策略物件中的安全政策時發生一個或者多個錯誤
4670 - 物件的許可權已更改
審計特權使用
4672 - 給新登入分配特權
4673 - 要求特權服務
4674 - 試圖對特權物件嘗試操作
審計系統事件
5024 - Windows防火牆服務已成功啟動
5025 - Windows防火牆服務已經被停止
5027 - Windows防火牆服務無法從本地儲存檢索安全政策,該服務將繼續執行目前的政策
5028 - Windows防火牆服務無法解析的新的安全政策,這項服務將繼續執行目前的政策
5029 - Windows防火牆服務無法初始化的驅動程式,這項服務將繼續執行目前的政策
5030 - Windows防火牆服務無法啟動
5032 - Windows防火牆無法通知使用者它阻止了接收入站連線的應用程式
5033 - Windows防火牆驅動程式已成功啟動
5034 - Windows防火牆驅動程式已經停止
5035 - Windows防火牆驅動程式未能啟動
5037 - Windows防火牆驅動程式檢測到關鍵執行錯誤,終止。
4608 -Windows正在啟動
4609 - Windows正在關機
4616 - 系統時間被改變
4621 - 管理員從CrashOnAuditFail回收系統,非管理員的使用者現在可以登入,有些審計活動可能沒有被記錄
4697 - 系統中安裝伺服器
4618 - 監測安全事件樣式已經發生
想檢視所有事件的完整列表,請訪問微軟網站:
總結
微軟將繼續涵蓋事件檢視器內的安全日誌中顯示的額外事件,只要你使用組策略建立了你想要審計和跟蹤的類別,就可以使用上述解碼的事件來跟蹤環境需要的事件。如果你將事件與其他技術相結合(例如訂閱),你可以建立事件的微調諧日誌,以保證網路的安全。