我监视Active Directory服务器上的EventID 4768以捕获用户login。 到目前为止这么好…我观察到用户设置为$的所有事件都是计算机。
我的问题是,据我所知,我被允许设置用户名如'abc $'。 所以基于'$'的区分并不是最好的方法。
我也看不出2个事件之间的差别,一个来自计算机,一个来自用户login。
那么,当我loginlogin事件时,如何安全区分用户和计算机呢?
我已经有更好的运气监控login/注销事件不同的事件ID号码。 这些是ID 4624(login)和4634(注销),两者可以通过两者上的LogonGUID属性相关联。 另一对有用的ID:4625(login失败)和4740(帐户locking)。