常用事件ID 持续更新中。。。。

2011年4月13日 | 分类: 安全 | 标签: , , ,

作为管理员,一些常用的事件ID,尤其是有关安全的事件ID应该了解,理由不解释,如果有遗漏或者错误的还请告知,多谢
建立账号
WIN2003:624-630,642,
WIN2008:4720-4726,4738
UNIX:日志类型authpirv 重要度INFORMATION 关键字:new user
用户登录
WIN2003:528
WIN2008:4648 不过这个ID,有可能产生于计划任务,使用RUNAS,或其他系统账户登录。
UNIX:日志类型authpirv 重要度INFORMATION 关键字:accepted password
日志清除:
WIN2003:517
WIN2008:1102
登录失败
WIN2003:529-537,539,4625,675,681
WIN2008:4771,4777
UNIX:日志类型authpirv 重要度INFORMATION 关键字:failed password
更改密码:
WIN2003:628,642
WIN2008:4738,4724
UNIX:日志类型authpirv 重要度INFORMATION 关键字:password changed

Written by LION

目前还没有任何评论.
注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。