Run: eventvwr.msc
Коды событий
| Event ID |
Описание |
| 1074 |
Успешный вход учетной записи (An account was successfully logged on) |
| 1149 |
(Remote Desktop Services: User authentication succeeded) Установление сетевого подключение к серверу от RDP клиента пользователя, событие не свидетельствует об успешной аутентификации пользователя. |
| 4624 |
Успешный вход учетной записи (An account was successfully logged on)
Пользователь успешно выполнил вход на компьютер. Тип входа:
- 2 Interactive (Интерактивные) Пользователь успешно вошел в систему на данном компьютере.
- 3 Network Пользователь или компьютер вошли в систему на данном компьютере через сеть.
- 4 Batch Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства.
- 5 Обслуживание Служба была запущена диспетчером служб.
- 7 Unlock Эта рабочая станция была разблокирована.
- 8 NetworkClearText Пользователь вошел в систему на данном компьютере через сеть. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.
- 9 NewCredentials Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений.
- 10 RemoteInteractive Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола.
- 11 CachedInteractive Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.
|
| 4625 |
An account failed to log on.
Ошибка при работе с логотипом. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с неверным паролем. |
| 4634 |
An account was logged off
Для пользователя завершен процесс выхода из сети
- Это событие сигнализирует об окончании сеанса входа в систему и может быть соотнесено с событием 4624 входа в систему с помощью идентификатора входа в систему.
- Для сетевых подключений (например, к файловому серверу) будет казаться, что пользователи входят и выходят из системы много раз в день. Это явление вызвано тем, как служба сервера прерывает незанятые соединения.
- Если пользователь выключает свой компьютер, Windows не имеет возможности зарегистрировать событие выхода из системы до перезапуска системы. Таким образом, некоторые события выхода из системы регистрируются намного позже того времени, когда они действительно происходят.
- АНОНИМНЫЕ ВХОДЫ - это обычные события в сетях Windows.
|
| 4647 |
User initiated logoff
Пользователь инициировал процесс выхода из сети.
- Это событие, по-видимому, заменяет 4634 в случае интерактивного и RemoteInteractive (удаленного рабочего стола) входа в систему. Это плюс, так как это упрощает различие между выходами из системы в результате простоя сетевого сеанса и выходами из системы, когда пользователь фактически выходит из системы со своей консоли.
|
| 4648 |
Попытка входа в систему с использованием явных учетных данных
(A logon was attempted using explicit credentials)
- Пользователь подключается к серверу или запускает программу локально, используя альтернативные учетные данные. Например, пользователь сопоставляет диск с сервером, но указывает учетные данные другого пользователя или открывает ярлык в разделе «Запуск от имени», щелкнув ярлык правой кнопкой мыши с нажатой клавишей Shift, удерживая нажатой клавишу Control, выбрав «Запуск от имени ...», а затем введя учетные данные другого пользователя в появившееся диалоговое окно. Или пользователь входит на веб-сайт, используя новые учетные данные. Так обстоит дело с приведенным выше примером - администратор вошел в систему на локальном компьютере, а затем обратился к серверу SharePoint sp01.icemail.com как rsmith@mtg.com
- Это событие также регистрируется, когда процесс входит в систему под другой учетной записью, например, когда служба запланированных задач запускает задачу от имени указанного пользователя. Пользователь, вошедший в систему: указывает исходную учетную запись пользователя
- При включенном контроле учетных записей конечный пользователь запускает программу, требующую полномочий администратора. Вы получите это событие, если информация о процессе --config.exe. К сожалению, Subject не идентифицирует конечного пользователя.
|
|
|
| 4672 |
Особые привилегии, назначенные новому входу в систему
(Special privileges assigned to new logon)
- Это событие позволяет узнать, когда учетная запись, которой назначены какие-либо права пользователя, "эквивалентные администратору", входит в систему. Например, вы увидите событие 4672 в непосредственной близости от событий входа в систему ( 4624 ) для администраторов, поскольку администраторы имеют большинство этих прав, эквивалентных администратору.
- Таким образом, это полезное право для обнаружения любого входа в учетную запись «суперпользователя». Конечно, это право регистрируется для любых учетных записей серверов или приложений, выполняющих вход в систему как пакетное задание (запланированная задача) или системная служба.
|
| 4675 |
SIDs were filtered |
| 4679 |
Пользователь отключил сеанс сервера терминалов, не выйдя из системы. |
| 4798 |
Запись пользователя была перечислена в списке
(A user's local group membership was enumerated) |
|
|
///
Сценарии анализа
///
Настройка фильтра настраиваемого представления с помощью XPath
Журнал событий Windows использует XPath (XML Path Language — язык запросов к элементам XML-документа), но использует ограниченное подмножество XPath 1.0, допускающее только функции position, band (binary and), timediff.
Пример фильтрации событий входа в систему
|
|
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID=4624 or EventID=4625)]] and *[EventData[Data[@Name='LogonType'] and Data=10]] </Select> </Query> </QueryList> |
//
|
|
<QueryList> <Query Id="0"> <Select Path="Security"> *[EventData[Data="C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE"]] or *[UserData[*[*="C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE"]]] </Select> </Query> </QueryList> |
Настройка политики аудита
Аудит событий входа в систему требует специальной настройки в редакторе групповой политики, после которой система начнет сообщать о таких событиях (gpedit.msc)
Сценарии
Сценарий сеанса работы с удаленным рабочим столом
1149 Network Connection
4624/4625 Authentication
21 Logon
24/25/39/40/4778/4799 Session Disconnect/Reconnect
23/4634/9009 Logoff
Дополнение
Кроме журнала событий в Windows 10 1803 появилась система Временной шкалы, которая отображает последние действия пользователя в некоторых поддерживаемых программах и приложениях — браузерах, текстовых редакторах и других. Также она может отображать предыдущие действия со связанных мобильных устройств и других компьютеров или ноутбуков с той же учетной записью Майкрософт. Подробней "Как отключить временную шкалу в Windows 10" пишет //remontka.pro
Источники
Аудит события входа //docs.microsoft.com
Просмотр и анализ логов RDP подключений в Windows //winitpro.ru
Event Log Explorer ускоряет анализ логов Windows в 2 раза и более //eventlogxp.com
Сбор и фильтрация событий входа в систему с помощью Log Parser InfoWatch@habr.com
XPath (XML Path Language) — язык запросов к элементам XML-документа //ru.wikipedia.org
Синтаксис XPath //msiter.ru