如何看懂系统审核日志.docx

1、如何看懂系统审核日志如何看懂系统审核日志根据下面的ID，可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件，究竟意味着什么事件出现了。一、帐户登录事件下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。672：已成功颁发和验证身份验证服务 (AS) 票证。673：授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证，允许用户对域中的特定服务进行身份验证。674：安全主体已更新 AS 票证或 TGS 票证。675：预身份验证失败。用户键入错误的密码时，密钥发行中心 (K

2、DC) 生成此事件。676：身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。677：TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。678：帐户已成功映射到域帐户。681：登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。682：用户已重新连接至已断开的终端服务器会话。683：用户未注销就断开终端服务器会话。二、帐户管理事件下面显示了

3、由“审核帐户管理”安全模板设置所生成的安全事件。624：用户帐户已创建。627：用户密码已更改。628：用户密码已设置。630：用户帐户已删除。631：全局组已创建。632：成员已添加至全局组。633：成员已从全局组删除。634：全局组已删除。635：已新建本地组。636：成员已添加至本地组。637：成员已从本地组删除。638：本地组已删除。639：本地组帐户已更改。641：全局组帐户已更改。642：用户帐户已更改。643：域策略已修改。644：用户帐户被自动锁定。645：计算机帐户已创建。646：计算机帐户已更改。647：计算机帐户已删除。648：禁用安全的本地安全组已创建。注意：从正式名称

4、上讲，SECURITY_DISABLED 意味着该组不能用来授权访问检查。649：禁用安全的本地安全组已更改。650：成员已添加至禁用安全的本地安全组。651：成员已从禁用安全的本地安全组删除。652：禁用安全的本地组已删除。653：禁用安全的全局组已创建。654：禁用安全的全局组已更改。655：成员已添加至禁用安全的全局组。656：成员已从禁用安全的全局组删除。657：禁用安全的全局组已删除。658：启用安全的通用组已创建。659：启用安全的通用组已更改。660：成员已添加至启用安全的通用组。661：成员已从启用安全的通用组删除。662：启用安全的通用组已删除。663：禁用安全的通用组已创建

5、。664：禁用安全的通用组已更改。665：成员已添加至禁用安全的通用组。666：成员已从禁用安全的通用组删除。667：禁用安全的通用组已删除。668：组类型已更改。684：管理组成员的安全描述符已设置。注意：在域控制器上，每隔 60 分钟，后台线程就会搜索管理组的所有成员（如域、企业和架构管理员），并对其应用一个固定的安全描述符。该事件已记录。685：帐户名称已更改。三、目录服务访问事件下面显示了由审核目录服务访问安全模板设置所生成的安全事件。566：发生了一般对象操作。四、登录事件ID528：用户成功登录到计算机。529：登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。530：

6、登录失败。试图在允许的时间外登录。531：登录失败。试图使用禁用的帐户登录。532：登录失败。试图使用已过期的帐户登录。533：登录失败。不允许登录到指定计算机的用户试图登录。534：登录失败。用户试图使用不允许的密码类型登录。535：登录失败。指定帐户的密码已过期。536：登录失败。Net Logon 服务没有启动。537：登录失败。由于其他原因登录尝试失败。注意：在某些情况下，登录失败的原因可能是未知的。538：用户的注销过程已完成。539：登录失败。试图登录时，该帐户已锁定。540：用户成功登录到网络。541：本地计算机与列出的对等客户端身份（已建立安全关联）之间的主要模式 Intern

7、et 密钥交换 (IKE) 身份验证已完成，或者快速模式已建立了数据频道。542：数据频道已终止。543：主要模式已终止。注意：如果安全关联的时间限制（默认为 8 小时）过期、策略更改或对等终止，则会发生此情况。544：由于对等客户端没有提供有效的证书或者签名无效，造成主要模式身份验证失败。545：由于 Kerberos 失败或者密码无效，造成主要模式身份验证失败。546：由于对等客户端发送的建议无效，造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。547：在 IKE 握手过程中，出现错误。548：登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。54

8、9：登录失败。在林内进行身份验证时，所有与不受信任的名称空间相关的 SID 将被筛选出去。550：可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。551：用户已启动注销过程。552：用户使用明确凭据成功登录到作为其他用户已登录到的计算机。682：用户已重新连接至已断开的终端服务器会话。683：用户还未注销就断开终端服务器会话。注意：当用户通过网络连接到终端服务器会话时，就会生成此事件。该事件出现在终端服务器上。五、对象访问事件下面显示了由审核对象访问安全模板设置所生成的安全事件。560：访问权限已授予现有的对象。562：指向对象的句柄已关闭。563：试图打开一个对象并打算将其删除。注意

9、：当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时，此事件可以用于文件系统。564：受保护对象已删除。565：访问权限已授予现有的对象类型。567：使用了与句柄关联的权限。注意：创建句柄时，已授予其具体权限，如读取、写入等。使用句柄时，最多为每个使用的权限生成一个审核。568：试图创建与正在审核的文件的硬链接。569：授权管理器中的资源管理器试图创建客户端上下文。570：客户端试图访问对象。注意：在此对象上发生的每个尝试操作都将生成一个事件。571：客户端上下文由授权管理器应用程序删除。572：Administrator Manager（管理员管理器）

10、初始化此应用程序。772：证书管理器已拒绝挂起的证书申请。773：证书服务已收到重新提交的证书申请。774：证书服务已吊销证书。775：证书服务已收到发行证书吊销列表 (CRL) 的请求。776：证书服务已发行 CRL。777：已制定证书申请扩展。778：已更改多个证书申请属性。779：证书服务已收到关机请求。780：已开始证书服务备份。781：已完成证书服务备份。782：已开始证书服务还原。783：已完成证书服务还原。784：证书服务已开始。785：证书服务已停止。786：已更改证书服务的安全权限。787：证书服务已检索存档密钥。788：证书服务已将证书导入其数据库中。789：证书服务审核筛

11、选已更改。790：证书服务已收到证书申请。791：证书服务已批准证书申请并已颁发证书。792：证书服务已拒绝证书申请。793：证书服务将证书申请状态设为挂起。794：证书服务的证书管理器设置已更改。795：证书服务中的配置项已更改。796：证书服务的属性已更改。797：证书服务已将密钥存档。798：证书服务导入密钥并将其存档。799：证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。800：已从证书数据库删除一行或多行。801：角色分离已启用。六、审核策略更改事件下面显示了由审核策略更改安全模板设置所生成的安全事件。608：已分配

12、用户权限。609：用户权限已删除。610：与其他域的信任关系已创建。611：与其他域的信任关系已删除。612：审核策略已更改。613：Internet 协议安全 (IPSec) 策略代理已启动。614：IPSec 策略代理已禁用。615：IPSec 策略代理已更改。616：IPSec 策略代理遇到一个可能很严重的故障。617：Kerberos v5 策略已更改。618：加密数据恢复策略已更改。620：与其他域的信任关系已修改。621：已授予帐户系统访问权限。622：已删除帐户的系统访问权限。623：按用户设置审核策略。625：按用户刷新审核策略。768：检测到两个林的名称空间元素之间有冲突。注

13、意：当两个林的名称空间元素重叠时，解析属于其中一个名称空间元素的名称时，将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如，对于类型为 TopLevelName 的项，有些字段无效，如 DNS 名称、NetBIOS 名称和 SID。769：已添加受信任的林信息。注意：当更新林信任信息并且添加了一个或多个项时，将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项，则为生成的所有事件消息指派一个唯一标识符，称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如，

14、对于类型为 TopLevelName 的项，有些参数是无效的，如 DNS 名称、NetBIOS 名称和 SID。770：已删除受信任的林信息。注意：请参见事件 769 的事件描述。771：已修改受信任的林信息。注意：请参见事件 769 的事件描述。805：事件日志服务读取会话的安全日志配置。七、特权使用事件下面显示了由审核特权使用安全模板设置所生成的安全事件。576：指定的特权已添加到用户的访问令牌中。注意：当用户登录时生成此事件。577：用户试图执行需要特权的系统服务操作。578：特权用于已经打开的受保护对象的句柄。八、详细的跟踪事件下面显示了由审核过程跟踪安全模板设置所生成的安全事件。59

15、2：已创建新进程。593：进程已退出。594：对象句柄已复制。595：已获取对象的间接访问权。596：数据保护主密钥已备份。注意：主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。（默认设置为 90 天。）通常由域控制器备份主密钥。597：数据保护主密钥已从恢复服务器恢复。598：审核过的数据已受保护。599：审核过的数据未受保护。600：已分配给进程主令牌。601：用户试图安装服务。602：已创建计划程序任务。九、审核系统事件下面显示了由审核系统事件安全模板设置所生成的系统事件。512：Win

16、dows 正在启动。513：Windows 正在关机。514：本地安全机制机构已加载身份验证数据包。515：受信任的登录过程已经在本地安全机构注册。516：用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。517：审核日志已清除。518：安全帐户管理器已加载通知数据包。519：进程正在使用无效的本地过程调用 (LPC) 端口，试图伪装客户端并向客户端地址空间答复、读取或写入。520：系统时间已更改。注意：在正常情况下，该审核出现两次.下面几节将针对具体类别详细介绍在启用审计的情况下返回的一些比较常见的事件 ID。注意：在本章稍后“被动式检测方法”一节将对用于搜索和收集事件日志信息的

17、工具进行讨论。登录事件如果对登录事件进行审计，那么每次用户在计算机上登录或注销时，都会在进行了登录尝试的计算机的安全日志中生成一个事件。此外，在用户连接到远程服务器之后，也会在远程服务器的安全日志中生成一个登录事件。在创建或者销毁登录会话和令牌时也会分别创建登录事件。登录事件对于跟踪以交互方式登录服务器的尝试或者对于调查从特定计算机发动的攻击十分有用。成功审计将在登录尝试成功的情况下生成一个审计项。失败审计将在登录尝试失败的情况下生成一个审计项。注意：登录事件包括计算机登录事件和用户登录事件两种。在有人试图从基于 Windows NT 或 Windows 2000 的计算机上建立网络连接的情况

18、下，您会看到针对计算机帐户和用户帐户的两种不同的安全事件日志项。基于 Windows 9x 的计算机在目录中没有计算机帐户，因此对于网络登录事件不会生成计算机登录事件项。作为成员服务器和域控制器基本策略的组成部分，对成功和失败登录事件的审计已启用。因此对于交互登录以及连接到运行“终端服务”的计算机的“终端服务”登录，您有望看到下面的事件 ID。表 6.1：出现在事件日志中的登录事件事件 ID说明528用户成功地登录到计算机。529有人用未知的用户名进行了登录尝试，或者用已知的用户名进行了登录尝试，但密码不正确。530用户帐户试图在不允许的时间进行登录。531有人使用一个被禁用的帐户进行登录尝试

19、。532有人使用一个过期的帐户进行登录尝试。533未允许该用户登录此计算机。534该用户试图用不允许使用的登录类型（如网络登录、交互登录、批登录、服务登录或远程交互登录）进行登录。535指定帐户的密码已经过期。536“网络登录”服务没有处于活动状态。537由于其他原因登录尝试失败。538一个用户被注销。539在有人进行登录尝试时帐户被锁定。此事件可表明有人发动密码攻击但未成功，因而导致帐户被锁定。540网络登录成功。此事件表明远程用户从网络成功地连接到服务器上的本地资源，并为该网络用户生成了一个令牌。682一个用户重新连接到已断开连接的“终端服务”会话。此事件表明有人连接到了以前的“终端服务”

20、会话。683一个用户没有注销就断开了“终端服务”会话连接。此事件在一个用户通过网络连接到“终端服务”会话的情况下生成。它出现在终端服务器上。可以使用登录事件项诊断下面的安全事件：* 本地登录尝试失败。下列事件 ID 中任何一个都说明失败的登录尝试：529、530、531、532、533、534 和 537。如果一个攻击者试图猜测本地帐户的用户名和密码组合但未成功，您就会看到事件 529 和 534。然而，这些事件也会在一个用户忘记自己的密码或者通过“网上邻居”浏览网络时发生。在大规模的环境中很难有效地解释这些事件。一般来讲，如果它们反复发生或者与其他不寻常的因素发生巧合，则应调查这些事件发生的

21、模式。例如，如果在深夜许多 529 事件后面跟着 528 事件，则可能表明发生了一次成功的密码攻击（虽然它也可能只是表明管理员过于疲劳。）* 帐户误用。事件 530、531、532 和 533 都可表示用户帐户误用。这些事件都表明正确地输入了帐户/密码组合，但其他限制因素妨碍了登录的成功。只要有可能，您都应调查这些事件以确定是否发生了误用或者是否需要修改当前的限制。例如，您可能需要延长某些帐户的登录时间。* 帐户锁定。事件 539 表明帐户被锁定。此事件也可表明一次密码攻击失败。您应查找同一用户帐户以前是否发生了 529 事件并努力分析出所尝试的登录的模式。* 终端服务攻击。可以使“终端服务”

22、会话保持连接状态，以允许进程在会话结束之后继续运行。事件 ID 683 表明用户没有从“终端服务”会话注销，而事件 ID 682 表明有人连接到了先前断开连接的会话中。 帐户登录事件在一个用户登录到域时，是在域控制器上对登录进行处理的。如果您审计域控制器上的帐户登录事件，那么您就会看到在对帐户进行验证的域控制器上记录的此登录尝试。帐户登录事件是在身份验证程序包对用户的凭据进行验证时创建的。在使用域凭据的情况下，帐户登录事件只在域控制器的事件日志中生成。如果出示的凭据是本地 SAM 数据库凭据，那么就会在服务器的安全事件日志中创建帐户登录事件。由于帐户登录事件可以记录在域中的任何有效的域控制器上

23、，因此必须确保将各个域控制器上的安全日志合并，以分析域中的所有帐户登录事件。注意：与登录事件一样，帐户登录事件也包括计算机登录事件和用户登录事件两种。作为成员服务器和域控制器基本策略的组成部分，对成功和失败帐户登录事件的审计已启用。因此对于网络登录和终端服务身份验证，您有望看到下面的事件 ID。表 6.2：出现在事件日志中的帐户登录事件事件 ID 说明672 成功地发出并验证了身份验证服务 (AS) 票证。673 授予了票证授予服务 (TGS) 票证。674 安全主体更新了 AS 票证或 TGS 票证。675 预身份验证失败。676 身份验证票证请求失败677 未授予 TGS 票证。678 帐

24、户已成功地映射到域帐户。680 识别用于成功的登录尝试的帐户。此事件还表明使用身份验证程序包对帐户进行了身份验证。681 有人进行了域帐户登录尝试。682 一个用户重新连接到已断开连接的“终端服务”会话。683 一个用户没有注销就断开了“终端服务”会话连接。对于这些事件中的每个事件，事件日志显示了有关每个特定的登录的详细信息。可以使用帐户登录事件项诊断下面的安全事件：* 域登录尝试失败。事件 ID 675 和 677 表明试图登录到域的失败尝试。* 时间同步问题。如果客户计算机的时间与进行身份验证的域控制器的时间相差五分钟（默认情况下）以上，那么在安全日志中就会记录事件 ID 675。* 终端

25、服务攻击。可以使“终端服务”会话保持连接状态，以允许进程在会话结束之后继续运行。事件 ID 683 表明用户没有从“终端服务”会话注销，而事件 ID 682 表明有人连接到了先前断开连接的会话。若要防止断开连接或者终止这些已断开连接的会话，请在“终端服务配置”控制台中 RDP-Tcp 协议的属性页中定义结束已断开的会话的时间间隔。 帐户管理帐户管理审计用于确定用户或组是在何时创建、更改或删除的。此审计可用于确定何时创建了安全主体，以及什么人执行了该任务。作为成员服务器和域控制器基本策略的组成部分，帐户管理中的对成功和失败的审计已启用。因此您有望看到在安全日志中记录的下列事件 ID。表 6.3：

26、出现在事件日志中的帐户管理事件事件 ID 说明624 创建了用户帐户625 更改了用户帐户类型626 启用了用户帐户627 尝试了密码更改628 设置了用户帐户密码629 禁用了用户帐户630 删除了用户帐户631 创建了启用安全的全局组632 添加了启用安全的全局组成员633 删除了启用安全的全局组成员634 删除了启用安全的全局组635 创建了禁用安全的本地组636 添加了启用安全的本地组成员637 删除了启用安全的本地组成员638 删除了启用安全的本地组639 更改了启用安全的本地组641 更改了启用安全的全局组642更改了用户帐户643 更改了域策略644 用户帐户被锁定可以使用安全日

27、志项诊断下面的帐户管理事件：* 创建用户帐户。事件 ID 624 和 626 识别是何时创建和启用用户帐户的。如果仅限于为本单位中的特定个人创建帐户，那么您可以使用这些事件识别是否有XX的人员创建了用户帐户。* 更改了用户帐户密码。用户本人之外的其他人对密码进行修改，可表明一个帐户已经被另一个用户掌握。应查找表明进行了密码更改尝试并获得成功的事件 ID 627 和 628。查看详细信息以确定是否由另一个帐户进行了该更改，以及该帐户是否为可以重置用户帐户密码的服务台或其他服务组的成员。* 更改了用户帐户状态。一个攻击者可能试图通过禁用或删除在发动攻击时使用的帐户来掩盖他们的踪迹。应该对所有的事件

28、 ID 629 和 630进行调查以确保这些事件是经授权的事务。还要查找事件 ID 626 后面较短的时间内接着发生事件 ID 629 的情况。这种情况可表明有人启用并使用了被禁用的帐户然后又将该帐户禁用。* 对安全组的修改。应该检查对下列组的成员身份进行的更改：域管理员组、管理员组、任一操作员组；自定义全局组、通用组或受到委派承担管理功能的域本地组。对全局组成员身份的修改，请查找事件 ID 632 和 633。对域本地组成员身份的修改，请查找事件 ID 636 和 637。* 帐户锁定。在帐户被锁定后，将会在 PDC 模拟器操作主机上记录两个事件。644 事件将表明帐户名被锁定，然后将记录一个 642 事件，该事件表明用户帐户被更改以指示该帐户现在被锁定。此事件只在 PDC 模拟器上记录。 对象访问可以用系统访问控制列表 (SACL) 对基于 Windows 2000 的网络中的所有对象启用审计。SACL 包含一个将要审计其对对象进行的操作的用户和组的列表。在 Windows 2000 中几乎用户可以操作的任何对象都有一个 SACL。这些对象包括 NTFS 驱动器上的文件和文件夹，打印机和注册表项。SACL 由访问控制项 (ACE) 组成。每个 ACE 都包含三部分信息：* 要对其进行审计的安全主体* 要审计的特定访问类型，称为“访问掩码”* 一个指示要审计失败访