Windows登陆日志详解

1、 Windows登陆类型

Windows登陆类型对应含义以下表：

类型ID	登陆方式	描述信息
2	Interactive	A user logged on to this computer at the console
3	Network	A user or computer logged on to this computer from the network
4	Batch	Batch logon type is used by batch servers, where processes might run on behalf of a user without the user’s direct intervention
5	Service	A service was started by the Service Control Manager
7	Unlock	This workstation was unlocked
8	NetworkCleartext	A user logged on to a network and the user password was passed to the authentication package in its unhashed (plain text) form. It is possible that the unhashed password was passed across the network, for example, when IIS performed basic authentication
9	NewCredentials	A caller (process, thread, or program) cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but it uses different credentials for other network connections.
10	RemoteInteractive	A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
11	CachedInteractive	A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials

登陆类型2：交互式登陆（Interactive）： 就是指用户在计算机的控制台上进行的登陆，也就是在本地键盘上进行的登陆。

登陆类型3：网络（Network）： 最多见的是访问网络共享文件夹或打印机。另外大多数状况下经过网络登陆IIS时也被记为这种类型，但基本验证方式的IIS登陆是个例外，它将被记为类型8。

登陆类型4：批处理（Batch） ：当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先建立一个新的登陆会话以便它能在此计划任务所配置的用户帐户下运行，当这种登陆出现时，Windows在日志中记为类型4，对于其它类型的工做任务系统，依赖于它的设计，也能够在开始工做时产生类型4的登陆事件，类型4登陆一般代表某计划任务启动，但也多是一个恶意用户经过计划任务来猜想用户密码，这种尝试将产生一个类型4的登陆失败事件，可是这种失败登陆也多是因为计划任务的用户密码没能同步更改形成的，好比用户密码更改了，而忘记了在计划任务中进行更改。 

登陆类型5：服务（Service） ：与计划任务相似，每种服务都被配置在某个特定的用户帐户下运行，当一个服务开始时，Windows首先为这个特定的用户建立一个登陆会话，这将被记为类型5，失败的类型5一般代表用户的密码已变而这里没获得更新。 

登陆类型7：解锁（Unlock） ：不少公司都有这样的安全设置：当用户离开屏幕一段时间后，屏保程序会锁定计算机屏幕。解开屏幕锁定须要键入用户名和密码。此时产生的日志类型就是Type 7。

登陆类型8：网络明文（NetworkCleartext） ：一般发生在IIS 的 ASP登陆。不推荐。

 登陆类型9：新凭证（NewCredentials） ：一般发生在RunAS方式运行某程序时的登陆验证。

登陆类型10：远程交互（RemoteInteractive） ：经过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登陆相区别，注意XP以前的版本不支持这种登陆类型，好比Windows2000仍然会把终端服务登陆记为类型2。 

登陆类型11：缓存交互（CachedInteractive） :在本身网络以外以域用户登陆而没法登陆域控制器时使用缓存登陆。默认状况下，Windows缓存了最近10次交互式域登陆的凭证HASH，若是之后当你以一个域用户登陆而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。 

本文由赛克蓝德(secisland)原创，转载请标明出处，感谢！

2、 常见登陆类型日志分析（以windows2008为例）

一、本地交互式登陆，也就是咱们天天最常使用的登陆方式。

首先是成功的登陆，从日志分析来看至少会有2个事件发生，分别为ID464八、 4624，如下从上至下分别是各自的截图。

审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登陆

审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登陆

如今来分析下，首先是ID4648事件，该事件说明有人使用身份凭据在尝试登陆，而且头字段中的用户名为SYSTEM。看看描述信息中有什么：

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4648

任务类别:          登陆

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O （目标机器名）

说明:

试图使用显式凭据登陆。（说明有人在尝试登陆）

 

主题:

安全 ID: SYSTEM

账户名: WIN-K7LDM0NKH6O$（主机名加了$后缀）

账户域: WORKGROUP  （主机的域名，此例中主机在名称为“WORKGROUP”的工做组中）

登陆 ID: 0x3e7

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

使用了哪一个账户的凭据:

账户名: wrh（登陆使用的用户名）

账户域: WIN-K7LDM0NKH6O （目标账户域）

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

目标服务器:

目标服务器名: localhost

附加信息: localhost

 

进程信息:

进程 ID: 0xfb8

进程名: C:\Windows\System32\winlogon.exe

 

网络信息:

网络地址: 127.0.0.1

端口: 0

接着是ID4624事件，看看描述信息：

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4624

任务类别:          登陆

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

已成功登陆账户。

 

主题:

安全 ID: SYSTEM

账户名: WIN-K7LDM0NKH6O$ （主机名加了$后缀）

账户域: WORKGROUP

登陆 ID: 0x3e7

 

登陆类型: 2  （交互式登陆）

新登陆:

安全 ID: WIN-K7LDM0NKH6O\wrh

账户名: wrh （登陆的账户名称）

账户域: WIN-K7LDM0NKH6O

登陆 ID: 0x51a72

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

进程信息:

进程 ID: 0xfb8

进程名: C:\Windows\System32\winlogon.exe

 

网络信息:

工做站名: WIN-K7LDM0NKH6O

源网络地址: 127.0.0.1

源端口: 0

 

详细身份验证信息:

登陆进程: User32

身份验证数据包: Negotiate

传递服务: -

数据包名(仅限 NTLM): -

密钥长度: 0

 

接下来看看失败的本地登陆。失败登陆会产生ID为4625的事件日志。

审核失败 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登陆

 

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:35:13

事件 ID:         4625

任务类别:          登陆

级别:            信息

关键字:           审核失败

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

账户登陆失败。

 

主题:

安全 ID: WIN-K7LDM0NKH6O\Administrator

账户名: Administrator

账户域: WIN-K7LDM0NKH6O

登陆 ID: 0x1f903

 

登陆类型: 2  （交互式登陆）

 

登陆失败的账户:

安全 ID: NULL SID

账户名: wrh （登陆的账户名称）

账户域:

 

失败信息:

失败缘由: 未知用户名或密码错误。（失败缘由）

状态: 0xc000006e

子状态: 0xc000006e

 

进程信息:

调用方进程 ID: 0xec0

调用方进程名: C:\Windows\System32\dllhost.exe

 

网络信息:

工做站名: WIN-K7LDM0NKH6O

源网络地址: -

源端口: -

 

详细身份验证信息:

登陆进程: Advapi  

身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

传递服务: -

数据包名(仅限 NTLM): -

密钥长度: 0

本文由赛克蓝德(secisland)原创，转载请标明出处，感谢！

二、使用RDP协议进行远程登陆，这也是平常常常遇到的状况。

使用mstsc远程登陆某个主机时，使用的账户是管理员账户的话，成功的状况下会有ID为464八、462四、4672的事件产生。首先是成功登陆，以下图所示，从中能够看到ID为4624，审核成功，登陆类型为10（远程交互）。而且描述信息中的主机名（源工做站）仍为被尝试登陆主机的主机名，而不是源主机名。

审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登陆

审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登陆

审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登陆

如今来分析下，首先是ID4648事件，该事件说明有人使用身份凭据在尝试登陆，而且头字段中的用户名为SYSTEM。看看描述信息中有什么：

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4648

任务类别:          登陆

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

试图使用显式凭据登陆。

 

主题:

安全 ID: SYSTEM

账户名: WIN-K7LDM0NKH6O$

账户域: WORKGROUP

登陆 ID: 0x3e7

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

使用了哪一个账户的凭据:

账户名: Administrator

账户域: WIN-K7LDM0NKH6O

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

目标服务器:

目标服务器名: localhost

附加信息: localhost

 

进程信息:

进程 ID: 0xb3c

进程名: C:\Windows\System32\winlogon.exe

 

网络信息:

网络地址: 192.168.0.122 （源主机IP地址）

端口: 10898  （源主机端口）

 

接着是ID4624事件，看看描述信息：

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4624

任务类别:          登陆

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

已成功登陆账户。

 

主题:

安全 ID: SYSTEM

账户名: WIN-K7LDM0NKH6O$

账户域: WORKGROUP

登陆 ID: 0x3e7

 

登陆类型: 10

 

新登陆:

安全 ID: WIN-K7LDM0NKH6O\Administrator

账户名: Administrator

账户域: WIN-K7LDM0NKH6O

登陆 ID: 0xa93db

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

进程信息:

进程 ID: 0xb3c

进程名: C:\Windows\System32\winlogon.exe

 

网络信息:

工做站名: WIN-K7LDM0NKH6O

源网络地址: 192.168.0.122

源端口: 10898

 

详细身份验证信息:

登陆进程: User32

身份验证数据包: Negotiate

传递服务: -

数据包名(仅限 NTLM): -

密钥长度: 0

从这里能够看出和本地登陆至少有3个地方不同，首先登陆类型的ID为10，说明是远程交互式登陆，其次是源网络地址和源端口。

再来看看ID4672，特殊登陆事件：

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4672

任务类别:          特殊登陆

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

为新登陆分配了特殊权限。

 

主题:

安全 ID: WIN-K7LDM0NKH6O\Administrator

账户名: Administrator

账户域: WIN-K7LDM0NKH6O

登陆 ID: 0xa93db

 

特权: SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

全部为登陆进程分配特殊权限的操做都属于“特殊登陆”事件。特殊权限是指，账户域WIN-K7LDM0NKH6O下的全部特权账户，用户没法使用这些特权账户登陆系统，这些账户是留给系统服务进程执行特权操做用的。

接下来看看失败的RDP协议登陆。失败登陆会产生ID为4625的事件日志。

审核失败 2016/9/23 16:57:50 Microsoft Windows security auditing. 4625 登陆

 

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:50

事件 ID:         4625

任务类别:          登陆

级别:            信息

关键字:           审核失败

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

账户登陆失败。

 

主题:

安全 ID: SYSTEM

账户名: WIN-K7LDM0NKH6O$

账户域: WORKGROUP

登陆 ID: 0x3e7

 

登陆类型: 10

 

登陆失败的账户:

安全 ID: NULL SID

账户名: Administrator

账户域: WIN-K7LDM0NKH6O

 

失败信息:

失败缘由: 未知用户名或密码错误。

状态: 0xc000006d

子状态: 0xc000006a

 

进程信息:

调用方进程 ID: 0xb3c

调用方进程名: C:\Windows\System32\winlogon.exe

 

网络信息:

工做站名: WIN-K7LDM0NKH6O

源网络地址: 192.168.0.122

源端口: 10898

 

详细身份验证信息:

登陆进程: User32

身份验证数据包: Negotiate

传递服务: -

数据包名(仅限 NTLM): -

密钥长度: 0

使用不存在的用户名和错误密码分别登陆失败，ID为4625，登陆类型为10（远程交互）。审核失败，列出了登陆失败的帐户名和失败缘由。

本文由赛克蓝德(secisland)原创，转载请标明出处，感谢！

三、远程访问某台主机的共享资源，如某个共享文件夹。

首先是使用正确的用户名和密码访问远程共享主机，登陆事件ID为4624，登陆类型为3（Network），审核成功。列出了源网络地址和端口。

审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登陆

 

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         4624

任务类别:          登陆

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

已成功登陆账户。

 

主题:

安全 ID: NULL SID

账户名: -

账户域: -

登陆 ID: 0x0

 

登陆类型: 3

 

新登陆:

安全 ID: ANONYMOUS LOGON

账户名: ANONYMOUS LOGON

账户域: NT AUTHORITY

登陆 ID: 0x6ae53

登陆 GUID: {00000000-0000-0000-0000-000000000000}

 

进程信息:

进程 ID: 0x0

进程名: -

 

网络信息:

工做站名: CHINA-CE675F3BC

源网络地址: 192.168.0.122

源端口: 10234

 

详细身份验证信息:

登陆进程: NtLmSsp

身份验证数据包: NTLM

传递服务: -

数据包名(仅限 NTLM): NTLM V1

密钥长度: 0

若是访问共享资源使用的账户名、密码正确，可是该用户对指定的共享文件夹没有访问权限时仍然会有ID为4624的认证成功事件产生。

 

接下来的是事件ID为5140的文件共享日志，显示了访问的共享文件夹名称。

审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

 

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         5140

任务类别:          文件共享

级别:            信息

关键字:           审核成功

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

已访问网络共享对象。

 

主题:

安全 ID: WIN-K7LDM0NKH6O\wrh

账户名称: wrh

账户域: WIN-K7LDM0NKH6O

登陆 ID: 0x6ae28

 

网络信息:

源地址: 192.168.0.122

源端口: 10234

 

共享名称: \\*\wrh

 

再来看看共享访问登陆失败事件ID4625的日志信息：

审核失败 2016/9/23 15:15:12 Microsoft Windows security auditing. 4625 登陆

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 15:15:12

事件 ID:         4625

任务类别:          登陆

级别:            信息

关键字:           审核失败

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

账户登陆失败。

 

主题:

安全 ID: NULL SID

账户名: -

账户域: -

登陆 ID: 0x0

 

登陆类型: 3

 

登陆失败的账户:

安全 ID: NULL SID

账户名: administrator

账户域: WIN-K7LDM0NKH6O

 

失败信息:

失败缘由: 未知用户名或密码错误。

状态: 0xc000006d

子状态: 0xc000006a

 

进程信息:

调用方进程 ID: 0x0

调用方进程名: -

 

网络信息:

工做站名: CHINA-CE675F3BC

源网络地址: 192.168.0.122

源端口: 9323

 

详细身份验证信息:

登陆进程: NtLmSsp

身份验证数据包: NTLM

传递服务: -

数据包名(仅限 NTLM): -

密钥长度: 0

 

同RDP协议远程登陆，使用不存在的用户名和错误密码分别登陆失败，ID为4625，登陆类型为3（网络）。审核失败，列出了登陆失败的帐户名和失败缘由。

4、解锁登陆

解锁登陆和远程登陆同样，成功的状况下会有ID为464八、462四、4672的事件产生。首先是成功登陆，以下图所示，从中能够看到ID为4624，审核成功，登陆类型为7（Unlock）。

审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登陆

审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登陆

审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登陆

 

接下来看看失败的解锁登陆。一样，失败登陆会产生ID为4625的事件日志。

审核失败 2016/9/23 16:28:35 Microsoft Windows security auditing. 4625 登陆

 

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:28:35

事件 ID:         4625

任务类别:          登陆

级别:            信息

关键字:           审核失败

用户:            暂缺

计算机:           WIN-K7LDM0NKH6O

说明:

账户登陆失败。

 

主题:

安全 ID: SYSTEM

账户名: WIN-K7LDM0NKH6O$

账户域: WORKGROUP

登陆 ID: 0x3e7

 

登陆类型: 7

登陆失败的账户:

安全 ID: NULL SID

账户名: Administrator

账户域: WIN-K7LDM0NKH6O

 

失败信息:

失败缘由: 未知用户名或密码错误。

状态: 0xc000006d

子状态: 0xc000006a

 

进程信息:

调用方进程 ID: 0x204

调用方进程名: C:\Windows\System32\winlogon.exe

 

网络信息:

工做站名: WIN-K7LDM0NKH6O

源网络地址: 192.168.0.122

源端口: 10156

 

详细身份验证信息:

登陆进程: User32

身份验证数据包: Negotiate

传递服务: -

数据包名(仅限 NTLM): -

密钥长度: 0

 

一样，使用不存在的用户名和错误密码分别登陆失败，ID为4625，登陆类型为7（unlock）。审核失败，列出了登陆失败的帐户名和失败缘由。

 

    最后咱们总结一下“审计登陆”事件：

· 在进程尝试经过显式指定账户的凭据来登陆该账户时生成4648事件。

· 成功的登陆一般会有4624事件产生，在建立登陆会话后在被访问的计算机上生成此事件。

· 若是用户有特权会有4672事件产生。

· 一般状况下只需关注登陆类型为二、三、七、10类型的4625登陆失败事件。

本文由赛克蓝德(secisland)原创，转载请标明出处，感谢！