Windows登录安全日志解析

2006-5-9????8:24:01????Security????成功审核????登录/注销?????528????COMPUTERNAMEclientUserName????COMPUTERNAME????"登录成功:
?????用户名:?????clientUserName
?????域:?????????COMPUTERNAME
?????登录?ID:?????????(0x0,0x17F4C31B)
?????登录类型:?????2
?????登录过程:?????User32??
?????身份验证程序包:?????Negotiate
?????工作站名:?????COMPUTERNAME?"
2006-5-9????8:24:01????Security????成功审核????帐户登录?????680????NT?AUTHORITYSYSTEM????COMPUTERNAME????"为登录所用的帐户:?MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
?帐户名:?
?????clientUserName
?工作站:?
?????COMPUTERNAME
?"
2006-5-9????8:23:44????Security????成功审核????系统事件?????515????NT?AUTHORITYSYSTEM????COMPUTERNAME????"受信任的登录过程已经在本地安全机制机构注册。?将信任这个登录过程来提交登录申请。?
?
?登录过程名:?????WinlogonMSGina?"

2006-5-9????7:00:34????Security????成功审核????登录/注销?????540????COMPUTERNAMEIUSR_COMPUTERNAME????COMPUTERNAME????"成功的网络登录:
?????用户名:????IUSR_COMPUTERNAME
?????域:????????COMPUTERNAME
?????登录?ID:????????(0x0,0x17BF45CB)
?????登录类型:????3
?????登录过程:????IIS?????
?????身份验证程序包:????MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
?????工作站名:????COMPUTERNAME?"
2006-5-9????7:00:34????Security????成功审核????帐户登录?????680????NT?AUTHORITYSYSTEM????COMPUTERNAME????"为登录所用的帐户:?MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
?帐户名:?
?????IUSR_COMPUTERNAME
?工作站:?
?????COMPUTERNAME
?"
2006-5-9????7:00:34????Security????成功审核????系统事件?????515????NT?AUTHORITYSYSTEM????COMPUTERNAME????"受信任的登录过程已经在本地安全机制机构注册。?将信任这个登录过程来提交登录申请。?
?
?登录过程名:?????inetinfo.exe?"
2006-5-9????7:00:16????Security????成功审核????登录/注销?????538????COMPUTERNAMEIUSR_COMPUTERNAME????COMPUTERNAME????"用户注销:
?????用户名:????IUSR_COMPUTERNAME
?????域:????????COMPUTERNAME
?????登录?ID:????????(0x0,0x158DFFBF)
?????登录类型:????3
?"

2006-5-9????1:08:04????Security????成功审核????登录/注销?????538????COMPUTERNAMEclientUserName????COMPUTERNAME????"用户注销:
?????用户名:????clientUserName
?????域:????????COMPUTERNAME
?????登录?ID:????????(0x0,0x167C8DC4)
?????登录类型:????4
?"
2006-5-9????1:00:00????Security????成功审核????登录/注销?????528????COMPUTERNAMEclientUserName????COMPUTERNAME????"登录成功:
?????用户名:?????clientUserName
?????域:?????????COMPUTERNAME
?????登录?ID:?????????(0x0,0x167C8DC4)
?????登录类型:?????4
?????登录过程:?????Advapi??
?????身份验证程序包:?????MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
?????工作站名:?????COMPUTERNAME?"
2006-5-9????1:00:00????Security????成功审核????帐户登录?????680????NT?AUTHORITYSYSTEM????COMPUTERNAME????"为登录所用的帐户:?MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
?帐户名:?
?????clientUserName
?工作站:?
?????COMPUTERNAME
?"

2006-5-4????19:24:24????Security????成功审核????登录/注销?????682????COMPUTERNAMEclientUserName????COMPUTERNAME????"会话被重新连接到?winstation:
?????用户名:????clientUserName
?????域:????????COMPUTERNAME
?????登录?ID:????????(0x0,0x37A9068)
?????会话名称:????RDP-Tcp#3
?????客户端名:????客户端名(计算机名)
?????客户端地址:????客户端地址(IP)?"
2006-5-4????19:24:23????Security????成功审核????登录/注销?????683????COMPUTERNAMEclientUserName????COMPUTERNAME????"会话从?winstation?中断连接:
?????用户名:????clientUserName
?????域:????????COMPUTERNAME
?????登录?ID:????????(0x0,0xA28751E)
?????会话名称:????Unknown
?????客户端名:????客户端名(计算机名)
?????客户端地址:????客户端地址(IP)?"
2006-5-4????19:24:20????Security????成功审核????登录/注销?????528????COMPUTERNAMEclientUserName????COMPUTERNAME????"登录成功:
?????用户名:?????clientUserName
?????域:?????????COMPUTERNAME
?????登录?ID:?????????(0x0,0xA28751E)
?????登录类型:?????2
?????登录过程:?????User32??
?????身份验证程序包:?????Negotiate
?????工作站名:?????COMPUTERNAME?"
2006-5-4????19:24:20????Security????成功审核????帐户登录?????680????NT?AUTHORITYSYSTEM????COMPUTERNAME????"为登录所用的帐户:?MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
?帐户名:?
?????clientUserName
?工作站:?
?????COMPUTERNAME
?"
2006-5-4????19:23:58????Security????成功审核????系统事件?????515????NT?AUTHORITYSYSTEM????COMPUTERNAME????"受信任的登录过程已经在本地安全机制机构注册。?将信任这个登录过程来提交登录申请。?
?
?登录过程名:?????WinlogonMSGina?"
2006-5-4????19:22:34????Security????成功审核????登录/注销?????683????COMPUTERNAMEclientUserName????COMPUTERNAME????"会话从?winstation?中断连接:
?????用户名:????clientUserName
?????域:????????COMPUTERNAME
?????登录?ID:????????(0x0,0x37A9068)
?????会话名称:????Unknown
?????客户端名:????客户端名(计算机名)
?????客户端地址:????客户端地址(IP)?"

2006-5-9????9:23:06????Security????审核成功????帐户管理?????630????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了用户帐户:
?????目标帐户名称:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMEmytest
?????调用方用户名:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"
2006-5-9????9:23:06????Security????审核成功????帐户管理?????633????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了启用安全的全局组成员:
?????成员名称:????-
?????成员ID:????COMPUTERNAMEmytest
?????目标帐户名称:????None
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMENone
?????调用方用户名称:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"
2006-5-9????9:23:06????Security????审核成功????帐户管理?????637????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了启用安全的本地组:
?????成员名称:????-
?????成员?ID:????COMPUTERNAMEmytest
?????目标帐户名称:????Administrators
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINAdministrators
?????调用方用户名称:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"
2006-5-9????9:23:06????Security????审核成功????帐户管理?????637????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了启用安全的本地组:
?????成员名称:????-
?????成员?ID:????COMPUTERNAMEmytest
?????目标帐户名称:????Users
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINUsers
?????调用方用户名称:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"
2006-5-9????9:21:24????Security????审核成功????帐户管理?????636????COMPUTERNAMEclientUserName????COMPUTERNAME????"添加了启用安全的本地组成员:
?????成员名称:????-
?????成员ID:????COMPUTERNAMEmytest
?????目标帐户名称:????Administrators
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINAdministrators
?????调用方用户名称:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"
2006-5-9????9:17:13????Security????审核成功????帐户管理?????636????COMPUTERNAMEclientUserName????COMPUTERNAME????"添加了启用安全的本地组成员:
?????成员名称:????-
?????成员ID:????COMPUTERNAMEmytest
?????目标帐户名称:????Users
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINUsers
?????调用方用户名称:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"
2006-5-9????9:17:13????Security????审核成功????帐户管理?????628????COMPUTERNAMEclientUserName????COMPUTERNAME????"设置了用户帐户密码:
?????目标帐户名:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMEmytest
?????调用方用户名:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
"
2006-5-9????9:17:13????Security????审核成功????帐户管理?????642????COMPUTERNAMEclientUserName????COMPUTERNAME????"更改了用户帐户:
?????目标帐户名称:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMEmytest
?????调用方用户名:????clientUserName
?????调用方所属域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????????-
?更改的属性:
?????SAM?帐户名称:????mytest
?????显示名称:????<未设置值>?
?????用户主要名称:????-
?????主目录:????<未设置值>?
?????主驱动器:????<未设置值>?
?????脚本路径:????<未设置值>?
?????配置文件路径:????<未设置值>?
?????用户工作站:????<未设置值>?
?????上一次设置的密码:????2006-5-9?9:17:13
?????帐户过期:????<从不>?
?????主要组?ID:????513
?????AllowedToDelegateTo:????-
?????旧?UAC?值:????0x9C498
?????新?UAC?值:????0x9C498
?????用户帐户控制:????-
?????用户参数:????-
?????Sid?历史:????-
?????登录时间(以小时计):????<值已更改，但未显示>?
"
2006-5-9????9:17:13????Security????审核成功????帐户管理?????626????COMPUTERNAMEclientUserName????COMPUTERNAME????"启用了用户帐户:
?????目标帐户名:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMEmytest
?????调用方用户名:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
"
2006-5-9????9:17:13????Security????审核成功????帐户管理?????624????COMPUTERNAMEclientUserName????COMPUTERNAME????"创建了用户帐户:
?????新的帐户名:????mytest
?????新域:????COMPUTERNAME
?????新帐户标识:????COMPUTERNAMEmytest
?????调用方用户名:????clientUserName
?????调用方域:????COMPUTERNAME
?%调用方登录?ID:????(0x0,0x2363D)
?????特权:????????-
?属性:
?????SAM?帐户名称:????mytest
?????显示名称:????<未设置值>?
?????用户主要名称:????-
?????主目录:????<未设置值>?
?????主驱动器:????<未设置值>?
?????脚本路径:????<未设置值>?
?????配置文件路径:????<未设置值>?
?????用户工作站:????<未设置值>?
?????上一次设置的密码:????<从不>?
?????帐户过期:????<从不>?
?????主要组?ID:????513
?????AllowedToDelegateTo:????-
?????旧?UAC?值:????0x9C498
?????新?UAC?值:????0x9C498
?????用户帐户控制:????-
?????用户参数:????<未设置值>?
?????Sid?历史:????-
?????登录时间:????<值已更改，但未显示>?
"
2006-5-9????9:17:13????Security????审核成功????帐户管理?????632????COMPUTERNAMEclientUserName????COMPUTERNAME????"添加了启用安全的全局组成员:
?????成员名称:????-
?????成员?ID:????COMPUTERNAMEmytest
?????目标帐户名称:????None
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMENone
?????调用方用户名称:????clientUserName
?????调用方域:????COMPUTERNAME
?????调用方登录?ID:????(0x0,0x2363D)
?????特权:????-
"

2006-5-9????10:01:38????Security????成功审核????帐户管理?????630????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了用户帐户:
?????目标帐户名称:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????呼叫方用户名:????clientUserName
?????呼叫方所属域:????COMPUTERNAME
?????呼叫方登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:01:38????Security????成功审核????帐户管理?????633????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了安全策略启动的全局组成员:
?????成员名称:????-
?????成员ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????目标帐户名称:????None
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMENone
?????呼叫用户名称:????clientUserName
?????呼叫域:????COMPUTERNAME
?????呼叫者登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:01:38????Security????成功审核????帐户管理?????637????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了安全策略启动的本地组:
?????成员名称:????-
?????成员?ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????目标帐户名称:????Administrators
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINAdministrators
?????呼叫用户名称:????clientUserName
?????呼叫域:????COMPUTERNAME
?????呼叫者登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:01:38????Security????成功审核????帐户管理?????637????COMPUTERNAMEclientUserName????COMPUTERNAME????"删除了安全策略启动的本地组:
?????成员名称:????-
?????成员?ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????目标帐户名称:????Users
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINUsers
?????呼叫用户名称:????clientUserName
?????呼叫域:????COMPUTERNAME
?????呼叫者登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:01:29????Security????成功审核????帐户管理?????636????COMPUTERNAMEclientUserName????COMPUTERNAME????"添加了安全策略启动的本地组成员:
?????成员名称:????-
?????成员ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????目标帐户名称:????Administrators
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINAdministrators
?????呼叫用户名称:????clientUserName
?????呼叫域:????COMPUTERNAME
?????呼叫者登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:00:35????Security????成功审核????帐户管理?????636????COMPUTERNAMEclientUserName????COMPUTERNAME????"添加了安全策略启动的本地组成员:
?????成员名称:????-
?????成员ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????目标帐户名称:????Users
?????目标域:????Builtin
?????目标帐户?ID:????BUILTINUsers
?????呼叫用户名称:????clientUserName
?????呼叫域:????COMPUTERNAME
?????呼叫者登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:00:35????Security????成功审核????帐户管理?????628????COMPUTERNAMEclientUserName????COMPUTERNAME????"设置了用户帐户密码:
?????目标帐户名:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????呼叫方用户名:????clientUserName
?????呼叫方所属域:????COMPUTERNAME
?????呼叫方登录?ID:????(0x0,0x17F4C31B)
?"
2006-5-9????10:00:35????Security????成功审核????帐户管理?????642????COMPUTERNAMEclientUserName????COMPUTERNAME????"更改了用户帐户:
?????已启用帐户。??
????'不要求密码'?-?已禁用
?????目标帐户名称:????mytest
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????呼叫方用户名:????clientUserName
?????呼叫方所属域:????COMPUTERNAME
?????呼叫方登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"
2006-5-9????10:00:35????Security????成功审核????帐户管理?????624????COMPUTERNAMEclientUserName????COMPUTERNAME????"创建了用户帐户:
?????新的帐户名:????mytest
?????新域:????COMPUTERNAME
?????新帐户标识:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????呼叫方用户名:????clientUserName
?????呼叫方所属域:????COMPUTERNAME
?%呼叫方登录?ID:????(0x0,0x17F4C31B)
?????特权????????-
?"
2006-5-9????10:00:35????Security????成功审核????帐户管理?????632????COMPUTERNAMEclientUserName????COMPUTERNAME????"添加了安全策略启动的全局组成员:
?????成员名称:????-
?????成员?ID:????%{S-1-5-21-1220945662-1326574676-725345543-1005}
?????目标帐户名称:????None
?????目标域:????COMPUTERNAME
?????目标帐户?ID:????COMPUTERNAMENone
?????呼叫用户名称:????clientUserName
?????呼叫域:????COMPUTERNAME
?????呼叫者登录?ID:????(0x0,0x17F4C31B)
?????特权:????-
?"