'*************************************************************************
' 通過終端登錄服務器的日志(管理員帳號登錄)
'*************************************************************************
2006-5-9 8:24:01 Security 成功審核 登錄/注銷 528 COMPUTERNAMEclientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x17F4C31B)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-9 8:24:01 Security 成功審核 帳戶登錄 680 NT AUTHORITYSYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-9 8:23:44 Security 成功審核 系統事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請��。
登錄過程名: WinlogonMSGina "
'*************************************************************************
' AT計劃IIS服務重啟(腳本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
2006-5-9 7:00:34 Security 成功審核 登錄/注銷 540 COMPUTERNAMEIUSR_COMPUTERNAME COMPUTERNAME "成功的網絡登錄:
用戶名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登錄 ID: (0x0,0x17BF45CB)
登錄類型: 3
登錄過程: IIS
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 7:00:34 Security 成功審核 帳戶登錄 680 NT AUTHORITYSYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
IUSR_COMPUTERNAME
工作站:
COMPUTERNAME
"
2006-5-9 7:00:34 Security 成功審核 系統事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊��。 將信任這個登錄過程來提交登錄申請。
登錄過程名: inetinfo.exe "
2006-5-9 7:00:16 Security 成功審核 登錄/注銷 538 COMPUTERNAMEIUSR_COMPUTERNAME COMPUTERNAME "用戶注銷:
用戶名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登錄 ID: (0x0,0x158DFFBF)
登錄類型: 3
"
'*************************************************************************
' 計劃任務運行程序日志(管理員帳號)
'*************************************************************************
2006-5-9 1:08:04 Security 成功審核 登錄/注銷 538 COMPUTERNAMEclientUserName COMPUTERNAME "用戶注銷:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x167C8DC4)
登錄類型: 4
"
2006-5-9 1:00:00 Security 成功審核 登錄/注銷 528 COMPUTERNAMEclientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x167C8DC4)
登錄類型: 4
登錄過程: Advapi
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 1:00:00 Security 成功審核 帳戶登錄 680 NT AUTHORITYSYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
'*************************************************************************
' 從服務器斷開后重新連接到服務器
'*************************************************************************
2006-5-4 19:24:24 Security 成功審核 登錄/注銷 682 COMPUTERNAMEclientUserName COMPUTERNAME "會話被重新連接到 winstation:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x37A9068)
會話名稱: RDP-Tcp#3
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
2006-5-4 19:24:23 Security 成功審核 登錄/注銷 683 COMPUTERNAMEclientUserName COMPUTERNAME "會話從 winstation 中斷連接:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0xA28751E)
會話名稱: Unknown
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
2006-5-4 19:24:20 Security 成功審核 登錄/注銷 528 COMPUTERNAMEclientUserName COMPUTERNAME "登錄成功:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0xA28751E)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-4 19:24:20 Security 成功審核 帳戶登錄 680 NT AUTHORITYSYSTEM COMPUTERNAME "為登錄所用的帳戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帳戶名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-4 19:23:58 Security 成功審核 系統事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登錄過程已經在本地安全機制機構注冊。 將信任這個登錄過程來提交登錄申請。
登錄過程名: WinlogonMSGina "
2006-5-4 19:22:34 Security 成功審核 登錄/注銷 683 COMPUTERNAMEclientUserName COMPUTERNAME "會話從 winstation 中斷連接:
用戶名: clientUserName
域: COMPUTERNAME
登錄 ID: (0x0,0x37A9068)
會話名稱: Unknown
客戶端名: 客戶端名(計算機名)
客戶端地址: 客戶端地址(IP) "
'*************************************************************************
' 通過Net User/Net LocalGroup等命令添加用戶帳號�,加入指定組�����,刪除帳號(Win2K3)
'*************************************************************************
2006-5-9 9:23:06 Security 審核成功 帳戶管理 630 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了用戶帳戶:
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMEmytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 633 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了啟用安全的全局組成員:
成員名稱: -
成員ID: COMPUTERNAMEmytest
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMENone
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了啟用安全的本地組:
成員名稱: -
成員 ID: COMPUTERNAMEmytest
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTINAdministrators
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:23:06 Security 審核成功 帳戶管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了啟用安全的本地組:
成員名稱: -
成員 ID: COMPUTERNAMEmytest
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTINUsers
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:21:24 Security 審核成功 帳戶管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了啟用安全的本地組成員:
成員名稱: -
成員ID: COMPUTERNAMEmytest
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTINAdministrators
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了啟用安全的本地組成員:
成員名稱: -
成員ID: COMPUTERNAMEmytest
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTINUsers
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 628 COMPUTERNAMEclientUserName COMPUTERNAME "設置了用戶帳戶密碼:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMEmytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 642 COMPUTERNAMEclientUserName COMPUTERNAME "更改了用戶帳戶:
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMEmytest
調用方用戶名: clientUserName
調用方所屬域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
更改的屬性:
SAM 帳戶名稱: mytest
顯示名稱: <未設置值>
用戶主要名稱: -
主目錄: <未設置值>
主驅動器: <未設置值>
腳本路徑: <未設置值>
配置文件路徑: <未設置值>
用戶工作站: <未設置值>
上一次設置的密碼: 2006-5-9 9:17:13
帳戶過期: <從不>
主要組 ID: 513
AllowedToDelegateTo: -
舊 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用戶帳戶控制: -
用戶參數: -
Sid 歷史: -
登錄時間(以小時計): <值已更改�����,但未顯示>
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 626 COMPUTERNAMEclientUserName COMPUTERNAME "啟用了用戶帳戶:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMEmytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 624 COMPUTERNAMEclientUserName COMPUTERNAME "創建了用戶帳戶:
新的帳戶名: mytest
新域: COMPUTERNAME
新帳戶標識: COMPUTERNAMEmytest
調用方用戶名: clientUserName
調用方域: COMPUTERNAME
%調用方登錄 ID: (0x0,0x2363D)
特權: -
屬性:
SAM 帳戶名稱: mytest
顯示名稱: <未設置值>
用戶主要名稱: -
主目錄: <未設置值>
主驅動器: <未設置值>
腳本路徑: <未設置值>
配置文件路徑: <未設置值>
用戶工作站: <未設置值>
上一次設置的密碼: <從不>
帳戶過期: <從不>
主要組 ID: 513
AllowedToDelegateTo: -
舊 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用戶帳戶控制: -
用戶參數: <未設置值>
Sid 歷史: -
登錄時間: <值已更改��,但未顯示>
"
2006-5-9 9:17:13 Security 審核成功 帳戶管理 632 COMPUTERNAMEclientUserName COMPUTERNAME "添加了啟用安全的全局組成員:
成員名稱: -
成員 ID: COMPUTERNAMEmytest
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMENone
調用方用戶名稱: clientUserName
調用方域: COMPUTERNAME
調用方登錄 ID: (0x0,0x2363D)
特權: -
"
'****************************************************************
' Windows 2000
'****************************************************************
2006-5-9 10:01:38 Security 成功審核 帳戶管理 630 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了用戶帳戶:
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用戶名: clientUserName
呼叫方所屬域: COMPUTERNAME
呼叫方登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:01:38 Security 成功審核 帳戶管理 633 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了安全策略啟動的全局組成員:
成員名稱: -
成員ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMENone
呼叫用戶名稱: clientUserName
呼叫域: COMPUTERNAME
呼叫者登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:01:38 Security 成功審核 帳戶管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了安全策略啟動的本地組:
成員名稱: -
成員 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTINAdministrators
呼叫用戶名稱: clientUserName
呼叫域: COMPUTERNAME
呼叫者登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:01:38 Security 成功審核 帳戶管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "刪除了安全策略啟動的本地組:
成員名稱: -
成員 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTINUsers
呼叫用戶名稱: clientUserName
呼叫域: COMPUTERNAME
呼叫者登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:01:29 Security 成功審核 帳戶管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略啟動的本地組成員:
成員名稱: -
成員ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目標帳戶名稱: Administrators
目標域: Builtin
目標帳戶 ID: BUILTINAdministrators
呼叫用戶名稱: clientUserName
呼叫域: COMPUTERNAME
呼叫者登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:00:35 Security 成功審核 帳戶管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略啟動的本地組成員:
成員名稱: -
成員ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目標帳戶名稱: Users
目標域: Builtin
目標帳戶 ID: BUILTINUsers
呼叫用戶名稱: clientUserName
呼叫域: COMPUTERNAME
呼叫者登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:00:35 Security 成功審核 帳戶管理 628 COMPUTERNAMEclientUserName COMPUTERNAME "設置了用戶帳戶密碼:
目標帳戶名: mytest
目標域: COMPUTERNAME
目標帳戶 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用戶名: clientUserName
呼叫方所屬域: COMPUTERNAME
呼叫方登錄 ID: (0x0,0x17F4C31B)
"
2006-5-9 10:00:35 Security 成功審核 帳戶管理 642 COMPUTERNAMEclientUserName COMPUTERNAME "更改了用戶帳戶:
已啟用帳戶。
'不要求密碼' - 已禁用
目標帳戶名稱: mytest
目標域: COMPUTERNAME
目標帳戶 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用戶名: clientUserName
呼叫方所屬域: COMPUTERNAME
呼叫方登錄 ID: (0x0,0x17F4C31B)
特權: -
"
2006-5-9 10:00:35 Security 成功審核 帳戶管理 624 COMPUTERNAMEclientUserName COMPUTERNAME "創建了用戶帳戶:
新的帳戶名: mytest
新域: COMPUTERNAME
新帳戶標識: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用戶名: clientUserName
呼叫方所屬域: COMPUTERNAME
%呼叫方登錄 ID: (0x0,0x17F4C31B)
特權 -
"
2006-5-9 10:00:35 Security 成功審核 帳戶管理 632 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略啟動的全局組成員:
成員名稱: -
成員 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目標帳戶名稱: None
目標域: COMPUTERNAME
目標帳戶 ID: COMPUTERNAMENone
呼叫用戶名稱: clientUserName
呼叫域: COMPUTERNAME
呼叫者登錄 ID: (0x0,0x17F4C31B)
特權: -
"
