分類

字段

說明

概述

“已成功登錄帳戶”

日志概述

主題

-

該字段指明本地系統(tǒng)上請求登錄的帳戶。這通常是一個服務(wù)（例如Server服務(wù)）或本地進(jìn)程（例如 Winlogon.exe或Services.exe）。

-

安全 ID

SID，安全標(biāo)識符用于唯一標(biāo)識的安全主體或安全組。安全主體可以表示任何可以由操作系統(tǒng)，例如用戶帳戶、計算機(jī)帳戶，或線程或進(jìn)程在用戶或計算機(jī)帳戶的安全上下文中運(yùn)行的身份驗證的實體。比如：iZ23kpfre8lZ\admin

更多說明可以參見：安全標(biāo)識符技術(shù)概述

-

帳戶名

安全域相關(guān)概念。通常情況下，是上述安全 ID的最末級相應(yīng)字段（如果是用戶的話），比如相對應(yīng)前面的SID，則對應(yīng)賬戶名是admin。

注意：如果是用工作組環(huán)境，則相應(yīng)值為[$Hostname]，比如iZ23kpfre8lZ$，[$Hostname]為計算機(jī)名稱。

-

帳戶域

安全域相關(guān)概念，相關(guān)資源歸屬安全域。如果是安全組，則是WORKGROUP；如果是域環(huán)境，則為相應(yīng)域名。

-

登錄 ID

內(nèi)部代碼。

登錄類型

-

指明發(fā)生的登錄種類。常見種類及其代碼說明：

2 - Interactive（交互式登錄）：

用戶在本地鍵盤上，通過操作系統(tǒng)控制臺（console）口進(jìn)行的登錄。但通過KVM（傳統(tǒng)物理機(jī)房）或基于VNC的登錄（比如云服務(wù)器ECS的管理終端），雖然是基于網(wǎng)絡(luò)進(jìn)行的登錄，但也屬于交互式登錄。

3 - Network（通過網(wǎng)絡(luò)訪問系統(tǒng)）：

用戶或計算機(jī)通過網(wǎng)絡(luò)進(jìn)行的訪問。最常見場景是連接到服務(wù)器的共享文件夾、共享打印機(jī)等共享資源。通過網(wǎng)絡(luò)登錄IIS時也被記為這種類型，但基本驗證方式的IIS登錄是個例外，它將被記為類型8。

4 - Batch（作為批處理作業(yè)啟動）：

當(dāng)Windows運(yùn)行一個計劃任務(wù)時，“計劃任務(wù)服務(wù)”將為該任務(wù)先創(chuàng)建一個新的登錄會話，以便它能在此計劃任務(wù)所配置的用戶賬戶下運(yùn)行。當(dāng)這種登錄出現(xiàn)時，Windows在日志中記為類型4。對于其它類型的工作任務(wù)系統(tǒng)，依賴于它的設(shè)計，也可以在開始工作時產(chǎn)生類型4的登錄事件。所以，類型4登錄通常表明某計劃任務(wù)的啟動，但也可能是一個惡意用戶通過計劃任務(wù)來猜測用戶密碼，這種嘗試將產(chǎn)生一個類型4的登錄失敗事件，但是這種失敗登錄也可能是由于計劃任務(wù)的用戶密碼沒能同步更改造成的，比如用戶密碼更改了，而忘記了在計劃任務(wù)中進(jìn)行更改。

5 - Service（由服務(wù)控制器啟動的Windows服務(wù)）：

與計劃任務(wù)類似，每種服務(wù)都被配置在某個特定的用戶賬戶下運(yùn)行，當(dāng)一個服務(wù)開始時，Windows首先為這個特定的用戶創(chuàng)建一個登錄會話，這將被記為類型5。所以，類型5登錄通常標(biāo)明某服務(wù)的啟動。失敗的類型5通常表明用戶的密碼已變而這里沒得到更新，當(dāng)然這也可能是由惡意用戶的密碼猜測引起的，但是這種可能性比較小，因為創(chuàng)建一個新的服務(wù)或編輯一個已存在的服務(wù)默認(rèn)情況下都要求是管理員或serversoperators身份，而這種身份的惡意用戶，已經(jīng)有足夠權(quán)限而無需費(fèi)力猜測服務(wù)密碼了。

7 - Unlock（屏保解鎖）：

Windows屏保解鎖操作被記錄為一個類型7的登錄，失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機(jī)。

8 - NetworkCleartext（網(wǎng)絡(luò)登錄時使用明文憑據(jù)）：

這種登錄表明這是一個像類型3一樣的網(wǎng)絡(luò)登錄，但是這種登錄的密碼在網(wǎng)絡(luò)上是通過明文傳輸?shù)?。Windows Server服務(wù)（LanmanServer）是不允許通過明文驗證連接到共享文件夾或打印機(jī)的。只有當(dāng)從一個使用Advapi的ASP腳本登錄，或者一個用戶使用基本驗證方式登錄IIS時，才會被標(biāo)記為這種登錄類型。

9 - NewCredentials（使用/netonly選項時由RunAs使用）：當(dāng)你使用帶/Netonly參數(shù)的RUNAS命令運(yùn)行一個程序時，RUNAS以本地當(dāng)前登錄用戶運(yùn)行它。但如果這個程序需要連接到網(wǎng)絡(luò)上的其它計算機(jī)時，這時就將以RUNAS命令中指定的用戶進(jìn)行連接，同時Windows將把這種登錄記為類型9。如果RUNAS命令沒帶/Netonly參數(shù)，那么這個程序就將以指定的用戶運(yùn)行，但日志中的登錄類型是2。

10 - RemoteInteractive（遠(yuǎn)程交互）：

當(dāng)你通過終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計算機(jī)時，Windows將登錄類型記為類型10，以便與真正的控制臺登錄相區(qū)別，注意Windows XP之前的版本不支持這種登錄類型，比如Windows2000仍然會把終端服務(wù)登錄記為類型2。

11 - CachedInteractive（緩存交互）：

Windows支持一種稱為緩存登錄的功能，這種功能對移動用戶尤其有利，比如你在自己網(wǎng)絡(luò)之外以域用戶登錄而無法登錄域控制器時就將使用這種功能。默認(rèn)情況下，Windows緩存了最近10 次交互式域登錄的憑證HASH，如果以后當(dāng)你以一個域用戶登錄而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份，并記錄登錄類型為類型11。

新登錄

-

該字段會指明新登錄是為哪個帳戶創(chuàng)建的，即登錄的帳戶。

-

安全 ID

如前文所述。

-

帳戶名

執(zhí)行登錄的用戶帳戶。例如，這可能是NT AUTHORITY\SYSTEM，這是用于啟動許多Windows 服務(wù)的LocalSystem帳戶。

賬戶域

執(zhí)行登錄的用戶歸屬域。如果是工作組環(huán)境，則顯示為相應(yīng)的計算機(jī)名稱。如果是域環(huán)境，則顯示為相應(yīng)的域信息。

網(wǎng)絡(luò)

-

字段指明遠(yuǎn)程登錄請求來自哪里?！肮ぷ髡久辈⒎强偸强捎?，而且在某些情況下可能會留為空白。

-

工作站名

登錄來源主機(jī)名稱。通過遠(yuǎn)程交互式登錄時顯示為客戶端主機(jī)名，其它登錄類型通常為本地計算機(jī)的計算機(jī)名。

-

源網(wǎng)絡(luò)地址

通過遠(yuǎn)程交互式登錄時的客戶端IP地址。

-

源端口

通過遠(yuǎn)程交互式登錄時客戶端使用的端口。

進(jìn)程信息

-

登錄操作調(diào)用的進(jìn)程信息。

詳細(xì)身份驗證信息

-

提供關(guān)于此特定登錄請求的詳細(xì)信息。指試圖登錄帳戶時調(diào)用的安全數(shù)據(jù)包。身份驗證數(shù)據(jù)包是分析登錄數(shù)據(jù)并決定是否對帳戶進(jìn)行身份驗證的動態(tài)鏈接庫（DLL）。最常用的有Kerberos、Negotiate、NTLM和MICROSOFT_AUTHENTICATION_PACKAGE_V1_0（也稱MSV1_0；可對SAM數(shù)據(jù)庫中的用戶進(jìn)行身份驗證，支持對受信任域中帳戶進(jìn)行pass-through身份驗證，支持子身份驗證數(shù)據(jù)