账户登录事件(4624 4625):4624事件表示账户成功登录,其中包含重要信息,如登录的账户名、登录的IP地址(如果是远程登录)、登录类型(如交互式登录、网络登录等)。4625事件则代表账户登录失败,通过分析登录失败的原因(如密码错误、账户不存在等)可以帮助检测潜在的暴力破解攻击。对象访问事件(4663):记录了对文件...
工具会自动解析重点的需要关注的事件(内置解析的EventID正在逐步完善中,如果大家有需要关注的EventID在工具中没有内置的,可以反馈给笔者) 一些重点的需要关注的事件如下: 400 PowerShell执行命令记录(这条就是演练时翻瞎眼才翻到的记录) 4624 账号登录事件 4624 系统时间更新事件(可以看出系统使用vm-agent,是个虚拟机...
LogParser.exe -i:EVT “SELECT EventID as EventID,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,’|’) as username,EXTRACT_TOKEN(Strings,19,’|’) as ip FROM C:\Users\172.16.5.30\sec.evtx where EventID=4625″ EventID :该值为System节点下的EventID; TimeGenerated:该值情况类似于EventI...
<13>May 08 10:45:44 microsoft.windows.test AgentDevice=WindowsLog<tab>AgentLogFile=Security<tab>PluginVersion=7.2.9.108<tab>Source=Microsoft-Windows-Security-Auditing<tab>Computer=microsoft.windows.test<tab>OriginatingComputer=10.0.0.2<tab>User=<tab>Domain=<tab>EventID=4624<tab>EventIDCode=4624<ta...
It also can be used for correlation between a 4624 event and several other events (on the same computer) that can contain the same Logon GUID, "4648(S): A logon was attempted using explicit credentials" and "4964(S): Special groups have been assigned to a new logon." This parameter...
Logon GUID[Type = GUID]: a GUID that can help you correlate this event with another event that can contain the sameLogon GUID, "4769(S, F): A Kerberos service ticket was requested event on a domain controller. It also can be used for correlation between a 4624 event and several other...
1.1 在搜索框中搜索 “事件查看器”,双击打开。(事件查看器的位置在C:\WINDOWS\system32,名字为eventvwr.msc) 1.2 展开左侧的 “Windows 日志” 然后双击 “安全”。(其他的日志可能需要选择其他选项) 1.3 点击最右边”操作” 栏中的 “删选当前日志…” ...
对于Windows事件日志分析,不同的Event ID代表了不同的意义。比如常见的安全事件ID,4624代表登录成功、4625代表登录失败、4634代表用户注销。 一般来说,安全性日志都会有成千上万条,若不能想要分析的时间段,要以人工方式一一查看,那是一件很痛苦的事情。若能采用视觉化图形显示方式进行分析,比如通过excel或者html,再...
eventlog[Security,,"Success Audit",,^4624$,,skip] 1. Zabbix agent(active);数据类型选择Log;监控间隔60秒。 其中,监控项Key的参数用大括号包裹、用逗号分隔,下面解释下各参数的含义: Security:事件的日志名称。 "Success Audit":事件的severity。
windows服务器查看远程登录记录 1.点击开始,点击事件查看器 2.找到windows日志,找到安全,点击安全 3.点击筛选当前日志 4.输入事件id查看即可 4634 - 帐户被注销 4647 - 用户发起注销 4624 - 帐户已成功登录 4625 - 帐户登录失败 4648 - 试图使用明确的凭证登录...