今天对服务器进行日志分析时,发现出现了下面的非法尝试登陆状况:
事件ID为529
登陆类型为 3
要分析清楚这次非法尝试登陆的状况,即登陆方式、来源等。就必须要知道其中的事件ID和登陆类型都代表什么含义。
首先,事件ID:
事件 ID | 审核登录事件 |
528 | 用户成功登录到计算机。 |
529 | 登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 |
530 | 登录失败。试图在允许的时间外登录。 |
531 | 登录失败。试图使用禁用的帐户登录。 |
532 | 登录失败。试图使用已过期的帐户登录。 |
533 | 登录失败。不允许登录到指定计算机的用户试图登录。 |
534 | 登录失败。用户试图使用不允许的密码类型登录。 |
535 | 登录失败。指定帐户的密码已过期。 |
536 | 登录失败。Net Logon 服务没有启动。 |
537 | 登录失败。由于其他原因登录尝试失败。 |
注意:在某些情况下,登录失败的原因可能是未知的。 | |
538 | 用户的注销过程已完成。 |
539 | 登录失败。试图登录时,该帐户已锁定。 |
540 | 用户成功登录到网络。 |
541 | 本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 |
542 | 数据频道已终止。 |
543 | 主要模式已终止。 |
注意:如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。 | |
544 | 由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 |
545 | 由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。 |
546 | 由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 |
547 | 在 IKE 握手过程中,出现错误。 |
548 | 登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 |
549 | 登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 |
550 | 可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 |
551 | 用户已启动注销过程。 |
552 | 用户使用明确凭据成功登录到作为其他用户已登录到的计算机。 |
682 | 用户已重新连接至已断开的终端服务器会话。 |
683 | 用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。 |
而对于登陆事件,则是
登录类型 | 登录标题 | 描述 |
2 | 交互 | 用户已登录到该计算机。 |
3 | 网络 | 用户或计算机从网络登录到该计算机。 |
4 | 批处理 | 批服务器使用批登录类型,对于这种登录类型,服务器代表用户执行登录过程,而无需用户直接参与。 |
5 | 服务 | 通过服务控制管理器启动服务。 |
7 | 解锁 | 该工作站已解锁。 |
8 | 解锁 | 用户从网络登录到该计算机。用户密码以解哈希运算形式传递到身份验证包中。在通过网络发送包之前,内置的身份验证功能对所有哈希凭据进行打包。这些凭据不以纯文本(也叫明文)方式在网络中传输。 |
9 | 新凭据 | 呼叫方克隆当前令牌并指定出站连接的新凭据。新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。 |
10 | 远程交互式登录 | 用户使用终端服务或远程桌面远程登录该计算机。 |
11 | 缓存交互式登录 | 用户使用存储在本地计算机上的网络凭据登录该计算机。无法连接域控制器验证凭据。 |