Windows安全日志

在运行中输入：eventvwr.msc，即可打开事件日志。

登录类型	描述
2	互动（键盘和屏幕的登录系统）
3	网络（即连接到共享文件夹从其他地方在这台电脑上网络）
4	批处理（即计划任务）
5	服务（服务启动 ）
7	解锁密码保护屏幕保护程序（即unnattended工作站）
8	NetworkCleartext（登录凭据发送明文。通常表示与“基本身份验证”登录到IIS）
9	NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件
10	终端服务，远程桌面或远程协助
11	Cachedinteractive（与缓存域登录凭证时登录一台笔记本电脑等远程网络

 

 

 

 

 

 

 

 

 

常见的Windows事件ID说明

Windows事件日志中记录的信息中，关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关，以下举出的事件ID的操纵系统为Vista/win7/win8/win10/server2008/server2012之后的版本

事件ID	说明
1102	清理审计日志
4624	账号成功登陆
4625	账号登录失败
4768	kerberos身份验证（TGT请求）
4769	kerberos服务票证请求
4776	NTLM身份验证
4720	创建用户
4726	删除用户
4728	将成员添加到启用安全的全局组中
4729	将成员从安全的全剧组中移除
4732	将成员添加到启用安全的本地组中
4733	将成员从启用安全的本地组中移除
4756	将成员添加到启用安全的通用组中
4757	将成员从启用安全的通用组中移除
4719	系统审计策略修改