¿Qué significan los códigos de eventos del registro del sistema?

Como mantenedor de servidores, mi trabajo es verificar los registros. Lo que quiero compartir con ustedes hoy no es ninguno de los registros anteriores, sino el registro de administración del sistema. En el sistema Windows 2003, ingrese "eventvwr" en el menú "Inicio" y "Ejecutar" para abrir el visor de eventos. Sin embargo, generalmente abrimos Administración de computadoras, que incluye este visor de tiempo para una fácil administración. Haga clic con el botón derecho en Mi PC y seleccione "Administrar" para abrir Administración de computadoras. El Visor de eventos generalmente le permite ver cuatro tipos de registros, a saber, "Aplicación", "Internet Explorer", "Seguridad" y "Sistema".

Como se muestra en la imagen

[attachment=1584]

Para "iniciar/cerrar sesión" nos centramos en las dos categorías de "aplicación" y "sistema". ", El comportamiento de "iniciar/cerrar sesión" generalmente ocurre entre usuarios del sistema y usuarios de bases de datos. A continuación se muestra un ejemplo para ilustrarlo.

Por ejemplo, si inicio sesión en la terminal remota en el puerto 3389 como administrador, los registros de registro generalmente serán 4 y se producirán al mismo tiempo.

Esta auditoría está habilitada de forma predeterminada. Si desea modificarla, puede ingresar a gpedit.msc para abrir la política de grupo durante la operación. Vaya a Configuración del equipo-Configuración de Windows-Configuración de seguridad-Política local-Auditoría. Política para ver los cambios. Revisión del tiempo de inicio de sesión del sistema.

[attachment=1585]

Dichos registros se guardan en la categoría "Seguridad"

Copiar código

Tipo de evento: Auditoría exitosa

Fuente del evento: Seguridad

Tipo de evento: Inicio de sesión de cuenta

ID del evento: 680

Fecha: 2010-2-4

Evento: 20:52:37

Usuario: TAGggg-DDD3333\administrador

Equipo: TAGggg-DDD3333

Descripción:

Usuario intentando iniciar sesión: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Cuenta de inicio de sesión: administrador

Estación de trabajo de origen: TAGggg-DDD3333

Código de error: 0x0

Este registro registra a los usuarios que intentan iniciar sesión. Por ejemplo, si prueba el nombre de usuario y la contraseña en la ventana de inicio de sesión, la descarga se registrará aquí si encuentra que hay un registro de alguien que lo está. no es un usuario del sistema, entonces alguien debe estar adivinando su nombre de usuario

Copiar código

Tipo de evento: Auditoría exitosa

Fuente del evento: Seguridad

Tipo de evento: Iniciar sesión/Cerrar sesión

ID de evento: 552

Fecha: 2010-2-4

Evento: 20:52:37

Usuario: NT AUTHORITY\SYSTEM

Computadora: TAGggg-DDD3333

Descripción:

Intento de inicio de sesión usando credenciales explícitas:

Usuario que inició sesión:

Nombre de usuario: TAGggg-DDD3333$

Dominio: WORKGROUP

ID de inicio de sesión: (0x0, 0x3E7)

GUID de inicio de sesión: -

Usuario cuyas credenciales se están utilizando:

Nombre de usuario de destino: administrador

Dominio de destino: TAGggg-DDD3333

GUID de inicio de sesión de destino: -

Nombre del servidor de destino: localhost

Información del servidor de destino: localhost

ID del proceso de llamada: 3224

Red de origen dirección: 142.97.167.96

Puerto de origen: 53637

Si el inicio de sesión se realiza correctamente, se registrará aquí. Si alguien obtiene la cuenta y la contraseña de 3389, luego la IP y el método. se registrará aquí. Es obvio que las credenciales se utilizan para iniciar sesión aquí.

Copiar código

Tipo de evento: Auditoría exitosa

Fuente del evento: Seguridad

Tipo de evento: Iniciar sesión/Cerrar sesión

ID de evento: 528

Fecha: 2010-2-4

Evento: 20:52:37

Usuario: TAGggg-DDD3333\administrator

Equipo: TAGggg-DDD3333

Descripción:

Inicio de sesión exitoso:

Nombre de usuario: administrador

Dominio: TAGggg - DDD3333

ID de inicio de sesión: (0x0, 0x3B5BA)

Tipo de inicio de sesión: 10

Proceso de inicio de sesión: Usuario32

Paquete de autenticación: Negociar

Nombre de la estación de trabajo: TAGggg-DDD3333

GUID de inicio de sesión: -

Nombre de usuario de la persona que llama: TAGggg-DDD3333$

Campo de llamada: WORKGROUP

ID de inicio de sesión de la persona que llama: (0x0, 0x3E7)

ID de proceso de la persona que llama: 3224

Servicio de entrega: -

Dirección de red de origen: 142.97. 167.96

Puerto de origen: 53637

Este registro es el más importante. Tiene tres lugares que explican el método de inicio de sesión: la conexión remota al escritorio. El método es 10, que es interacción remota (RemoteInteractive), lo que indica que el inicio de sesión se realiza a través de Terminal Service, Escritorio remoto o Asistencia remota; el segundo lugar es: proceso de inicio de sesión: Usuario32, lo que indica que se llama al proceso exe para iniciar sesión.

Para la tercera dirección, prestamos atención al ID del proceso de la persona que llama. Abra el administrador de tareas y podrá ver que el proceso de 3224 es winlogen.exe. Estos tres puntos indican que este registro es un registro de conexión remota. p>[attachment =1586]

Copiar código

Tipo de evento: Auditoría exitosa

Fuente del evento: Seguridad

Tipo de evento: Iniciar sesión /Cerrar sesión

ID de evento: 576

Fecha: 2010-2-4

Evento: 20:52:37

Usuario: TAGggg-DDD3333\ administrador

Equipo: TAGggg-DDD3333

Descripción:

Permisos especiales asignados a nuevos inicios de sesión:

Nombre de usuario :

Dominio:

ID de inicio de sesión: (0x0, 0x3B5BA)

Privilegio: SeSecurityPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeTakeOwnershipPrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeLoadDriverPrivilege

SeImpersonatePrivilege

Este registro muestra los permisos del usuario de inicio de sesión.

Bien, lo anterior es el registro de inicio de sesión remoto. A continuación se presenta el registro de inicio de sesión de mssql. Divido los registros de inicio de sesión de mssql en tres categorías: inicio de sesión de usuario normal, inicio de sesión de SA e inicio de sesión de usuario del sistema.

El servidor SQL y la autenticación de Windows deben estar activados y revisados. Haga clic en la instancia de mssql, haga clic derecho en propiedades y seleccione en la pestaña "Seguridad"

[attachment=1587]

Nos centramos en el inicio de sesión de SA y de los usuarios del sistema.

El registro de inicio de sesión del usuario del sistema de mssql también se almacena en el registro de "seguridad". Su registro es similar al inicio de sesión remoto, la principal diferencia es el tercer registro, como

Tipo de evento: Auditoría exitosa

Fuente del evento: Seguridad

Tipo de evento: Iniciar sesión/Cerrar sesión

ID del evento: 528

Fecha: 2010-2-4

Evento: 21:50:34

Usuario: TAGggg-DDD3333\administrador

Computadora: TAGggg-DDD3333

Descripción:

Inicio de sesión exitoso:

Nombre de usuario: administrador

Dominio: TAGggg-DDD3333

ID de inicio de sesión: (0x0, 0x48EF44)

Tipo de inicio de sesión: 5

Proceso de inicio de sesión: Advapi

Paquete de autenticación: Negociar

Nombre de la estación de trabajo: TAGggg-DDD3333

GUID de inicio de sesión: -

Nombre de usuario de la persona que llama: TAGggg-DDD3333$

Dominio de la persona que llama: WORKGROUP

ID de inicio de sesión de la persona que llama: (0x0, 0x3E7)

ID de proceso de la persona que llama: 444

Servicio de entrega: -

Dirección de red de origen: -

Puerto de origen: -

Puede ver que la dirección de red de origen y el puerto de origen de este registro están vacíos. El tipo de inicio de sesión es 5. Aquellos que han entendido el tipo de inicio de sesión de Windows saben que este es un inicio de sesión de servicio. El proceso de inicio de sesión es Advapi. Esto se debe a que mssql llama a LogonUser (Administrador) (llamada API a LogonUser)", generando así un evento de inicio de sesión. , el ID del proceso de llamada es 444, que es el proceso de servers.exe. Cuando vea este registro por primera vez, puede pensar que ha sido invadido. De hecho, no es así. Por supuesto, cada situación es diferente. , por lo que es necesario analizarlo en detalle, porque es como un inicio de sesión remoto de un agujero negro. El registro debería ser el mismo. También utiliza un servicio para iniciar sesión en el sistema. El registro mssql que tengo arriba es especial porque lo llamo. administrador para iniciar mssql, no el sistema, así que siento que me han engañado cuando vi este registro por primera vez. La idea es correcta, investigue detenidamente

Los registros de inicio de sesión de los usuarios de MSSQL se guardan en "Aplicación". Los registros de inicio de sesión de los usuarios de bases de datos utilizados por sitios web comunes son generalmente

Copiar código

Tipo de evento: Información

Fuente del evento: MSSQLSERVER