windows 安全日誌時，經常發現登入型別的值不同。有2，3，5，8等。最常見的型別是 2 (互動式)和 3 (網路)。

下面詳細列出了可能的登入型別值

登入型別2：互動式登入（Interactive）

這應該是你最先想到的登入方式吧，所謂互動式登入就是指使用者在計算機的控制檯上進行的登入，也就是在本地鍵盤上進行的登入。

登入型別3：網路（Network）

當你從網路的上訪問一臺計算機時在大多數情況下Windows記為型別3，最常見的情況就是連線到共享資料夾或者共享印表機時。另外大多數情況下通過網路登入IIS時也被記為這種型別，但基本驗證方式的IIS登入是個例外，它將被記為型別8

成功的網路登入:

使用者名稱:

域:

登入 ID: (0x2,0xFC38EC05)

登入型別: 3

登入過程: NtLmSsp

身份驗證資料包: NTLM

工作站名: 098B11CAF05E4A0

登入 GUID: -

呼叫方使用者名稱: -

呼叫方域: -

呼叫方登入 ID: -

呼叫方程序 ID: -

傳遞服務: -

源網路地址: 192.168.197.35

源埠: 0

呼叫方程序名稱: %16

登入型別4：批處理（Batch）

當Windows執行一個計劃任務時，“計劃任務服務”將為這個任務首先建立一個新的登入會話以便它能在此計劃任務所配置的使用者賬戶下執行，當這種登入出現時，

登入型別5：服務（Service）

與計劃任務類似，每種服務都被配置在某個特定的使用者賬戶下執行，當一個服務開始時，Windows首先為這個特定的使用者建立一個登入會話，這將被記為型別5，失敗的型別5通常表明使用者的密碼已變而這裡沒得到更新，當然這也可能是由惡意使用者的密碼猜測引起的，但是這種可能性比較小，因為建立一個新的服務或編輯一個已存在的服務預設情況下都要求是管理員或

已成功登入帳戶。

主題:

安全 ID: SYSTEM

帳戶名: NAUTICAR-X200$

帳戶域: WORKGROUP

登入 ID: 0x3e7

登入型別: 5

新登入:

安全 ID: SYSTEM

帳戶名: SYSTEM

帳戶域: NT AUTHORITY

登入 ID: 0x3e7

登入 GUID:{00000000-0000-0000-0000-000000000000}

程序資訊:

程序 ID: 0x254

程序名: C:\Windows\System32\services.exe

網路資訊:

工作站名:

源網路地址: -

源埠: -

詳細身份驗證資訊:

登入程序: Advapi 

身份驗證資料包: Negotiate

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

在建立登入會話後在被訪問的計算機上生成此事件。

“主題”欄位指明本地系統上請求登入的帳戶。這通常是一個服務(例如 Server 服務)或本地程序(例如 Winlogon.exe 或 Services.exe)。

登入型別7：解鎖（Unlock）

你可能希望當一個使用者離開他的計算機時相應的工作站自動開始一個密碼保護的屏保，當一個使用者回來解鎖時，Windows就把這種解鎖操作認為是一個型別7的登入，失敗的型別7登入表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。

登入型別8：網路明文（NetworkCleartext）

這種登入表明這是一個像型別3一樣的網路登入，但是這種登入的密碼在網路上是通過明文傳輸的，WindowsServer服務是不允許通過明文驗證連線到共享資料夾或印表機的，據我所知只有當從一個使用Advapi的ASP指令碼登入或者一個使用者使用基本驗證方式登入IIS才會是這種登入型別。“登入過程”欄都將列出Advapi。

成功的網路登入:

使用者名稱: IUSR_HP-8DFC7CA1B32C

域: HP-8DFC7CA1B32C

登入 ID: (0x0,0x89F503)

登入型別: 8

登入過程: Advapi 

身份驗證資料包: Negotiate

工作站名: HP-8DFC7CA1B32C

登入 GUID: -

呼叫方使用者名稱: NETWORK SERVICE

呼叫方域: NT AUTHORITY

呼叫方登入 ID: (0x0,0x3E4)

呼叫方程序 ID: 3656

傳遞服務: -

源網路地址: -

源埠: -

呼叫方程序名稱: %16

登入型別9：新憑證（NewCredentials）

當你使用帶/Netonly引數的RUNAS命令執行一個程式時，RUNAS以本地當前登入使用者執行它，但如果這個程式需要連線到網路上的其它計算機時，這時就將以RUNAS命令中指定的使用者進行連線，同時Windows將把這種登入記為型別9，如果RUNAS命令沒帶/Netonly引數，那麼這個程式就將以指定的使用者執行，但日誌中的登入型別是2。

登入型別10：遠端互動（RemoteInteractive）

當你通過終端服務、遠端桌面或遠端協助訪問計算機時，Windows將記為型別10，以便與真正的控制檯登入相區別，注意XP之前的版本不支援這種登入型別，比如Windows2000仍然會把終端服務登入記為型別2。

登入型別11：快取互動（CachedInteractive）

Windows支援一種稱為快取登入的功能，這種功能對移動使用者尤其有利，比如你在自己網路之外以域使用者登入而無法登入域控制器時就將使用這種功能，預設情況下，Windows快取了最近10次互動式域登入的憑證HASH，如果以後當你以一個域使用者登入而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份。

上面講了Windows的登入型別，但預設情況下Windows2000是沒有記錄安全日誌的，你必須先啟用組策略“計算機配置/Windows設定/安全設定/本地策略/稽核策略”下的“稽核登入事件”才能看到上面的記錄資訊。希望這些詳細的記錄資訊有助於大家更好地掌握系統情況，維護網路安定。