Windows服务器登录类型及安全日志解析

一、Windows登录类型
如果你留意Windows系统的安全日志，在那些事件描述中你将会发现里面的“登录类型”并非全部相同，难道除了在键盘上进行交互式登录（登录类型1）之外还有其它类型吗？不错，Windows为了让你从日志中获得更多有价值的信息，它细分了很多种登录类型，以便让你区分登录者到底是从本地登录，还是从网络登录，以及其它更多的登录方式。因为了解了这些登录方式，将有助于你从事件日志中发现可疑的黑客行为，并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。

登录类型2：交互式登录（Interactive）

这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。

登录类型3：网络（Network）

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

登录类型4：批处理（Batch）

当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

登录类型5：服务（Service）

与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

登录类型7：解锁（Unlock）

你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

登录类型8：网络明文（NetworkCleartext）

这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。

登录类型9：新凭证（NewCredentials）

当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它，但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9，如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2。

登录类型10：远程交互（RemoteInteractive）

当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。

登录类型11：缓存交互（CachedInteractive）

Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能，默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。

上面讲了Windows的登录类型，但默认情况下Windows2000是没有记录安全日志的，你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些详细的记录信息有助于大家更好地掌握系统情况，维护网络安定。

二、日志记录
‘*************************************************************************
‘ 通过终端登录服务器的日志（管理员帐号登录）
‘*************************************************************************

2006-5-9 8:24:01 Security 成功审核 登录/注销 528 COMPUTERNAME\clientUserName COMPUTERNAME “登录成功:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x17F4C31B)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: COMPUTERNAME ”
2006-5-9 8:24:01 Security 成功审核 帐户登录 680 NT AUTHORITY\SYSTEM COMPUTERNAME “为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
clientUserName
工作站:
COMPUTERNAME
”
2006-5-9 8:23:44 Security 成功审核 系统事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME “受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名: Winlogon\MSGina ”
‘*************************************************************************
‘ AT计划IIS服务重启（脚本）安全日志（IUSR_COMPUTERNAME）
‘*************************************************************************

2006-5-9 7:00:34 Security 成功审核 登录/注销 540 COMPUTERNAME\IUSR_COMPUTERNAME COMPUTERNAME “成功的网络登录:
用户名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登录 ID: (0x0,0x17BF45CB)
登录类型: 3
登录过程: IIS
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME ”
2006-5-9 7:00:34 Security 成功审核 帐户登录 680 NT AUTHORITY\SYSTEM COMPUTERNAME “为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
IUSR_COMPUTERNAME
工作站:
COMPUTERNAME
”
2006-5-9 7:00:34 Security 成功审核 系统事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME “受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名: \inetinfo.exe ”
2006-5-9 7:00:16 Security 成功审核 登录/注销 538 COMPUTERNAME\IUSR_COMPUTERNAME COMPUTERNAME “用户注销:
用户名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登录 ID: (0x0,0x158DFFBF)
登录类型: 3
”
‘*************************************************************************
‘ 计划任务运行程序日志（管理员帐号）
‘*************************************************************************

2006-5-9 1:08:04 Security 成功审核 登录/注销 538 COMPUTERNAME\clientUserName COMPUTERNAME “用户注销:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x167C8DC4)
登录类型: 4
”
2006-5-9 1:00:00 Security 成功审核 登录/注销 528 COMPUTERNAME\clientUserName COMPUTERNAME “登录成功:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x167C8DC4)
登录类型: 4
登录过程: Advapi
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME ”
2006-5-9 1:00:00 Security 成功审核 帐户登录 680 NT AUTHORITY\SYSTEM COMPUTERNAME “为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
clientUserName
工作站:
COMPUTERNAME
”
‘*************************************************************************
‘ 从服务器断开后重新连接到服务器
‘*************************************************************************

2006-5-4 19:24:24 Security 成功审核 登录/注销 682 COMPUTERNAME\clientUserName COMPUTERNAME “会话被重新连接到 winstation:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x37A9068)
会话名称: RDP-Tcp#3
客户端名: 客户端名(计算机名)
客户端地址: 客户端地址(IP) ”
2006-5-4 19:24:23 Security 成功审核 登录/注销 683 COMPUTERNAME\clientUserName COMPUTERNAME “会话从 winstation 中断连接:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0xA28751E)
会话名称: Unknown
客户端名: 客户端名(计算机名)
客户端地址: 客户端地址(IP) ”
2006-5-4 19:24:20 Security 成功审核 登录/注销 528 COMPUTERNAME\clientUserName COMPUTERNAME “登录成功:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0xA28751E)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: COMPUTERNAME ”
2006-5-4 19:24:20 Security 成功审核 帐户登录 680 NT AUTHORITY\SYSTEM COMPUTERNAME “为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
clientUserName
工作站:
COMPUTERNAME
”
2006-5-4 19:23:58 Security 成功审核 系统事件 515 NT AUTHORITY\SYSTEM COMPUTERNAME “受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名: Winlogon\MSGina ”
2006-5-4 19:22:34 Security 成功审核 登录/注销 683 COMPUTERNAME\clientUserName COMPUTERNAME “会话从 winstation 中断连接:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x37A9068)
会话名称: Unknown
客户端名: 客户端名(计算机名)
客户端地址: 客户端地址(IP) ”
‘*************************************************************************
‘ 通过Net User/Net LocalGroup等命令添加用户帐号，加入指定组，删除帐号（Win2K3）
‘*************************************************************************

2006-5-9 9:23:06 Security 审核成功 帐户管理 630 COMPUTERNAME\clientUserName COMPUTERNAME “删除了用户帐户:
目标帐户名称: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAME\mytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
”
2006-5-9 9:23:06 Security 审核成功 帐户管理 633 COMPUTERNAME\clientUserName COMPUTERNAME “删除了启用安全的全局组成员:
成员名称: –
成员ID: COMPUTERNAME\mytest
目标帐户名称: None
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAME\None
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
”
2006-5-9 9:23:06 Security 审核成功 帐户管理 637 COMPUTERNAME\clientUserName COMPUTERNAME “删除了启用安全的本地组:
成员名称: –
成员 ID: COMPUTERNAME\mytest
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTIN\Administrators
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
”
2006-5-9 9:23:06 Security 审核成功 帐户管理 637 COMPUTERNAME\clientUserName COMPUTERNAME “删除了启用安全的本地组:
成员名称: –
成员 ID: COMPUTERNAME\mytest
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTIN\Users
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
”
2006-5-9 9:21:24 Security 审核成功 帐户管理 636 COMPUTERNAME\clientUserName COMPUTERNAME “添加了启用安全的本地组成员:
成员名称: –
成员ID: COMPUTERNAME\mytest
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTIN\Administrators
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
”
2006-5-9 9:17:13 Security 审核成功 帐户管理 636 COMPUTERNAME\clientUserName COMPUTERNAME “添加了启用安全的本地组成员:
成员名称: –
成员ID: COMPUTERNAME\mytest
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTIN\Users
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
”
2006-5-9 9:17:13 Security 审核成功 帐户管理 628 COMPUTERNAME\clientUserName COMPUTERNAME “设置了用户帐户密码:
目标帐户名: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAME\mytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
”
2006-5-9 9:17:13 Security 审核成功 帐户管理 642 COMPUTERNAME\clientUserName COMPUTERNAME “更改了用户帐户:
目标帐户名称: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAME\mytest
调用方用户名: clientUserName
调用方所属域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
更改的属性:
SAM 帐户名称: mytest
显示名称: <未设置值>
用户主要名称: –
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: 2006-5-9 9:17:13
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: –
旧 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用户帐户控制: –
用户参数: –
Sid 历史: –
登录时间(以小时计): <值已更改，但未显示>
”
2006-5-9 9:17:13 Security 审核成功 帐户管理 626 COMPUTERNAME\clientUserName COMPUTERNAME “启用了用户帐户:
目标帐户名: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAME\mytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
”
2006-5-9 9:17:13 Security 审核成功 帐户管理 624 COMPUTERNAME\clientUserName COMPUTERNAME “创建了用户帐户:
新的帐户名: mytest
新域: COMPUTERNAME
新帐户标识: COMPUTERNAME\mytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
%调用方登录 ID: (0x0,0x2363D)
特权: –
属性:
SAM 帐户名称: mytest
显示名称: <未设置值>
用户主要名称: –
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: <从不>
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: –
旧 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用户帐户控制: –
用户参数: <未设置值>
Sid 历史: –
登录时间: <值已更改，但未显示>
”
2006-5-9 9:17:13 Security 审核成功 帐户管理 632 COMPUTERNAME\clientUserName COMPUTERNAME “添加了启用安全的全局组成员:
成员名称: –
成员 ID: COMPUTERNAME\mytest
目标帐户名称: None
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAME\None
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: –
帐号重命名(685、642)
*************************************************************************************
Windows 重启事件
*************************************************************************************
事件6005表示计算机日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005，就说明这天正常启动了windows系统。
事件6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID为6006的事件，就表示计算机在这天没关机或没有正常关机（可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作）。如果事件6005和6006的记录时间相差很短，大致可判断为重启（当然可以通过事件1074进行详细的查看）。
事件1074，在系统的事件跟踪程序开启的情况下，可以通过这个事件查看计算机的开机、关机、重启的时间以及原因和注释。
If you’re looking for a system initiated shutdown/restart, look for event 1074. The details for this event will tell you what process initiated the restart and what reason was given, and you can check the reason code for further information about why the system shut down or restarted.
事件6009如果你发现多个例如“事件日志已启动”、“Microsoft (R) Windows 2000 (R) 5.0 2195 Service Pack 2 Uniprocessor Free”这样的信息，一般来说都是系统有过相关的重启或关机；
Event 6009 is logged at startup, not at shutdown. It contains only a string identifying the operating system version. It’s been that way since NT 4.0 or so
事件6013 Windows2008:系统启动时间为 29 秒。
这个日志(6013)的信息并不是表示你的计算机重启了，而是说明自从上次启动以来，系统运行了多长的时间了。该日志会每天12点整出现一次。至于如何查看系统运行多长时间了，请在cmd中输入systeminfo其中有一行就是“系统启动时间”，该值精确到秒)
事件1007表示该计算机无法从DHCP服务器获得相应的信息。在很多网络环境中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在windows日志中产生一个事件ID号为1007的事件。如果用户在事件日志中发现该编号事件，就说明该机器无法从DHCP服务器获得信息。就要查看是该机器的网络故障还是DHCP服务器的问题了。