这个问题不考虑Windows Server 2003和较老的操作系统。
我知道,对于本地login(事件ID 4624)logintypes也被logging(交互,远程等)。 有没有办法通过只收集域控制器日志来识别logintypes还有域authentication? 也就是说,可以通过在他的工作站(通过键盘)和用户或服务在networking上进行authentication的用户身份validation来生成事件ID(如4771和4768),如果有,是否有办法从日志中知道这一点4771或4768)? 或者是通过networking身份validation始终覆盖事件ID 4769,因此事件ID 4771和4768仅用于本地身份validation?
不,4624s不仅适用于本地工作站login。 它们也出现在域控制器上。 同样的规则适用于本地login和域login。
诀窍是看在事件4624列出的Logon Type 。如果事件说
Logon Type: 3
那么你知道这是一个networkinglogin。 当用户(或计算机)login到AD域时,这些事件发生在域控制器上,所以是的,收集域控制器就是你想要做的事情。
•2:交互式login – 用于在计算机的控制台上login。 当您尝试在Windows计算机的本地键盘和屏幕上login时,会loggingtypes2login。
•3:networkinglogin – 访问远程文件共享或打印机时发生此login。 另外,Internet Information Services(IIS)的大多数login都被分类为networkinglogin,而不是使用基本身份validation协议的IISlogin(login为logintypes8)。
•4:批量login – 用于计划的任务。 Windows调度程序服务启动计划任务时,它首先为该任务创build一个新的login会话,以便它可以在任务创build时指定的帐户的安全上下文中运行。
•5:服务login – 用于login>启动服务的服务和服务帐户。 当服务启动时,Windows首先为在服务configuration中指定的用户帐户创build一个login会话。
•7:解锁 – 每当您解锁Windows机器时使用。
•8:networking清除文本login – 当您通过networkinglogin并且密码以明文forms发送时使用。 例如,当您使用基本身份validation向IIS服务器进行身份validation时,会发生这种情况。
•9:基于凭证的新login – 当您使用RunAs命令运行应用程序并指定/ netonly开关时使用此选项。 当您使用/ netonly使用RunAs启动程序时,程序将在具有相同本地身份(这是您当前login的用户身份)的新login会话中启动,但使用不同的凭据(在runas命令)用于其他networking连接。 如果没有/ netonly,Windows将以runas命令中指定的用户的身份在本地计算机和networking上运行该程序,并将login事件logging为types2。
•10:远程交互式login – 用于terminal服务,远程桌面或远程协助等基于RDP的应用程序。
•11:caching交互式login – 当用户使用caching的凭据login时,会logging此信息,这基本上意味着如果没有域控制器,则仍然可以使用域凭据login到本地计算机。 Windows支持使用caching凭据进行login,以减轻移动用户和经常断开连接的用户的生活。