未分類
4 2 月 2020

大婶们帮忙分析下这个日志呗 有点慌

lna 大佬有话说 :

大婶们帮忙分析下这个日志呗 有点慌

这个是什么登陆呀?是不是被入侵了?

日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2020/2/4 11:08:05
事件 ID:         4624
任务类别:          登录
级别:            信息
关键字:         审核成功
用户:            暂缺
计算机:         WIN-1GIDUT4AGV9
描述:
已成功登录帐户。

使用者:
        安全 ID:                SYSTEM
        帐户名:                WIN-1GIDUT4AGV9$
        帐户域:                WORKGROUP
        登录 ID:                0x3E7

登录类型:                        5

模拟级别:                模拟

新登录:
        安全 ID:                SYSTEM
        帐户名:                SYSTEM
        帐户域:                NT AUTHORITY
        登录 ID:                0x3E7
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

进程信息:
        进程 ID:                0x2ac
        进程名:                C:WindowsSystem32services.exe

网络信息:
        工作站名:        –
        源网络地址:        –
        源端口:                –

详细身份验证信息:
        登录进程:                Advapi
        身份验证数据包:        Negotiate
        传递的服务:        –
        数据包名(仅限 NTLM):        –
        密钥长度:                0

创建登录会话后,在被访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指明新登录是为哪个帐户创建的,即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

模拟级别字段指明登录会话中的进程可以模拟的程度。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
        -“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
        -“传递的服务”指明哪些中间服务参与了此登录请求。
        – “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
        -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4624</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2020-02-04T03:08:05.531779300Z" />
    <EventRecordID>7949</EventRecordID>
    <Correlation />
    <Execution ProcessID="692" ThreadID="6800" />
    <Channel>Security</Channel>
    <Computer>WIN-1GIDUT4AGV9</Computer>
    <Security />
</System>
<EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">WIN-1GIDUT4AGV9$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-5-18</Data>
    <Data Name="TargetUserName">SYSTEM</Data>
    <Data Name="TargetDomainName">NT AUTHORITY</Data>
    <Data Name="TargetLogonId">0x3e7</Data>
    <Data Name="LogonType">5</Data>
    <Data Name="LogonProcessName">Advapi</Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">-</Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x2ac</Data>
    <Data Name="ProcessName">C:WindowsSystem32services.exe</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
</EventData>
</Event>