'*************************************************************************
' 通过终端登录服务器的日志(管理员帐号登录)
'*************************************************************************
2006-5-9 8:24:01 Security 成功审核 登录/注销 528 COMPUTERNAMEclientUserName COMPUTERNAME "登录成功:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x17F4C31B)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-9 8:24:01 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-9 8:23:44 Security 成功审核 系统事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。
登录过程名: WinlogonMSGina "
'*************************************************************************
' AT计划IIS服务重启(脚本)安全日志(IUSR_COMPUTERNAME)
'*************************************************************************
2006-5-9 7:00:34 Security 成功审核 登录/注销 540 COMPUTERNAMEIUSR_COMPUTERNAME COMPUTERNAME "成功的网络登录:
用户名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登录 ID: (0x0,0x17BF45CB)
登录类型: 3
登录过程: IIS
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 7:00:34 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
IUSR_COMPUTERNAME
工作站:
COMPUTERNAME
"
2006-5-9 7:00:34 Security 成功审核 系统事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。
登录过程名: inetinfo.exe "
2006-5-9 7:00:16 Security 成功审核 登录/注销 538 COMPUTERNAMEIUSR_COMPUTERNAME COMPUTERNAME "用户注销:
用户名: IUSR_COMPUTERNAME
域: COMPUTERNAME
登录 ID: (0x0,0x158DFFBF)
登录类型: 3
"
'*************************************************************************
' 计划任务运行程序日志(管理员帐号)
'*************************************************************************
2006-5-9 1:08:04 Security 成功审核 登录/注销 538 COMPUTERNAMEclientUserName COMPUTERNAME "用户注销:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x167C8DC4)
登录类型: 4
"
2006-5-9 1:00:00 Security 成功审核 登录/注销 528 COMPUTERNAMEclientUserName COMPUTERNAME "登录成功:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x167C8DC4)
登录类型: 4
登录过程: Advapi
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: COMPUTERNAME "
2006-5-9 1:00:00 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
clientUserName
工作站:
COMPUTERNAME
"
'*************************************************************************
' 从服务器断开后重新连接到服务器
'*************************************************************************
2006-5-4 19:24:24 Security 成功审核 登录/注销 682 COMPUTERNAMEclientUserName COMPUTERNAME "会话被重新连接到 winstation:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x37A9068)
会话名称: RDP-Tcp#3
客户端名: 客户端名(计算机名)
客户端地址: 客户端地址(IP) "
2006-5-4 19:24:23 Security 成功审核 登录/注销 683 COMPUTERNAMEclientUserName COMPUTERNAME "会话从 winstation 中断连接:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0xA28751E)
会话名称: Unknown
客户端名: 客户端名(计算机名)
客户端地址: 客户端地址(IP) "
2006-5-4 19:24:20 Security 成功审核 登录/注销 528 COMPUTERNAMEclientUserName COMPUTERNAME "登录成功:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0xA28751E)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: COMPUTERNAME "
2006-5-4 19:24:20 Security 成功审核 帐户登录 680 NT AUTHORITYSYSTEM COMPUTERNAME "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
clientUserName
工作站:
COMPUTERNAME
"
2006-5-4 19:23:58 Security 成功审核 系统事件 515 NT AUTHORITYSYSTEM COMPUTERNAME "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。
登录过程名: WinlogonMSGina "
2006-5-4 19:22:34 Security 成功审核 登录/注销 683 COMPUTERNAMEclientUserName COMPUTERNAME "会话从 winstation 中断连接:
用户名: clientUserName
域: COMPUTERNAME
登录 ID: (0x0,0x37A9068)
会话名称: Unknown
客户端名: 客户端名(计算机名)
客户端地址: 客户端地址(IP) "
'*************************************************************************
' 通过Net User/Net LocalGroup等命令添加用户帐号,加入指定组,删除帐号(Win2K3)
'*************************************************************************
2006-5-9 9:23:06 Security 审核成功 帐户管理 630 COMPUTERNAMEclientUserName COMPUTERNAME "删除了用户帐户:
目标帐户名称: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMEmytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
2006-5-9 9:23:06 Security 审核成功 帐户管理 633 COMPUTERNAMEclientUserName COMPUTERNAME "删除了启用安全的全局组成员:
成员名称: -
成员ID: COMPUTERNAMEmytest
目标帐户名称: None
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMENone
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
2006-5-9 9:23:06 Security 审核成功 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了启用安全的本地组:
成员名称: -
成员 ID: COMPUTERNAMEmytest
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTINAdministrators
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
2006-5-9 9:23:06 Security 审核成功 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了启用安全的本地组:
成员名称: -
成员 ID: COMPUTERNAMEmytest
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTINUsers
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
2006-5-9 9:21:24 Security 审核成功 帐户管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了启用安全的本地组成员:
成员名称: -
成员ID: COMPUTERNAMEmytest
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTINAdministrators
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
2006-5-9 9:17:13 Security 审核成功 帐户管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了启用安全的本地组成员:
成员名称: -
成员ID: COMPUTERNAMEmytest
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTINUsers
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
2006-5-9 9:17:13 Security 审核成功 帐户管理 628 COMPUTERNAMEclientUserName COMPUTERNAME "设置了用户帐户密码:
目标帐户名: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMEmytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 审核成功 帐户管理 642 COMPUTERNAMEclientUserName COMPUTERNAME "更改了用户帐户:
目标帐户名称: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMEmytest
调用方用户名: clientUserName
调用方所属域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
更改的属性:
SAM 帐户名称: mytest
显示名称: <未设置值>
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: 2006-5-9 9:17:13
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用户帐户控制: -
用户参数: -
Sid 历史: -
登录时间(以小时计): <值已更改,但未显示>
"
2006-5-9 9:17:13 Security 审核成功 帐户管理 626 COMPUTERNAMEclientUserName COMPUTERNAME "启用了用户帐户:
目标帐户名: mytest
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMEmytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
"
2006-5-9 9:17:13 Security 审核成功 帐户管理 624 COMPUTERNAMEclientUserName COMPUTERNAME "创建了用户帐户:
新的帐户名: mytest
新域: COMPUTERNAME
新帐户标识: COMPUTERNAMEmytest
调用方用户名: clientUserName
调用方域: COMPUTERNAME
%调用方登录 ID: (0x0,0x2363D)
特权: -
属性:
SAM 帐户名称: mytest
显示名称: <未设置值>
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: <从不>
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0x9C498
新 UAC 值: 0x9C498
用户帐户控制: -
用户参数: <未设置值>
Sid 历史: -
登录时间: <值已更改,但未显示>
"
2006-5-9 9:17:13 Security 审核成功 帐户管理 632 COMPUTERNAMEclientUserName COMPUTERNAME "添加了启用安全的全局组成员:
成员名称: -
成员 ID: COMPUTERNAMEmytest
目标帐户名称: None
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMENone
调用方用户名称: clientUserName
调用方域: COMPUTERNAME
调用方登录 ID: (0x0,0x2363D)
特权: -
"
'****************************************************************
' Windows 2000
'****************************************************************
2006-5-9 10:01:38 Security 成功审核 帐户管理 630 COMPUTERNAMEclientUserName COMPUTERNAME "删除了用户帐户:
目标帐户名称: mytest
目标域: COMPUTERNAME
目标帐户 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用户名: clientUserName
呼叫方所属域: COMPUTERNAME
呼叫方登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:01:38 Security 成功审核 帐户管理 633 COMPUTERNAMEclientUserName COMPUTERNAME "删除了安全策略启动的全局组成员:
成员名称: -
成员ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目标帐户名称: None
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMENone
呼叫用户名称: clientUserName
呼叫域: COMPUTERNAME
呼叫者登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:01:38 Security 成功审核 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了安全策略启动的本地组:
成员名称: -
成员 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTINAdministrators
呼叫用户名称: clientUserName
呼叫域: COMPUTERNAME
呼叫者登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:01:38 Security 成功审核 帐户管理 637 COMPUTERNAMEclientUserName COMPUTERNAME "删除了安全策略启动的本地组:
成员名称: -
成员 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTINUsers
呼叫用户名称: clientUserName
呼叫域: COMPUTERNAME
呼叫者登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:01:29 Security 成功审核 帐户管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略启动的本地组成员:
成员名称: -
成员ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTINAdministrators
呼叫用户名称: clientUserName
呼叫域: COMPUTERNAME
呼叫者登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:00:35 Security 成功审核 帐户管理 636 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略启动的本地组成员:
成员名称: -
成员ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTINUsers
呼叫用户名称: clientUserName
呼叫域: COMPUTERNAME
呼叫者登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:00:35 Security 成功审核 帐户管理 628 COMPUTERNAMEclientUserName COMPUTERNAME "设置了用户帐户密码:
目标帐户名: mytest
目标域: COMPUTERNAME
目标帐户 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用户名: clientUserName
呼叫方所属域: COMPUTERNAME
呼叫方登录 ID: (0x0,0x17F4C31B)
"
2006-5-9 10:00:35 Security 成功审核 帐户管理 642 COMPUTERNAMEclientUserName COMPUTERNAME "更改了用户帐户:
已启用帐户。
'不要求密码' - 已禁用
目标帐户名称: mytest
目标域: COMPUTERNAME
目标帐户 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用户名: clientUserName
呼叫方所属域: COMPUTERNAME
呼叫方登录 ID: (0x0,0x17F4C31B)
特权: -
"
2006-5-9 10:00:35 Security 成功审核 帐户管理 624 COMPUTERNAMEclientUserName COMPUTERNAME "创建了用户帐户:
新的帐户名: mytest
新域: COMPUTERNAME
新帐户标识: %{S-1-5-21-1220945662-1326574676-725345543-1005}
呼叫方用户名: clientUserName
呼叫方所属域: COMPUTERNAME
%呼叫方登录 ID: (0x0,0x17F4C31B)
特权 -
"
2006-5-9 10:00:35 Security 成功审核 帐户管理 632 COMPUTERNAMEclientUserName COMPUTERNAME "添加了安全策略启动的全局组成员:
成员名称: -
成员 ID: %{S-1-5-21-1220945662-1326574676-725345543-1005}
目标帐户名称: None
目标域: COMPUTERNAME
目标帐户 ID: COMPUTERNAMENone
呼叫用户名称: clientUserName
呼叫域: COMPUTERNAME
呼叫者登录 ID: (0x0,0x17F4C31B)
特权: -
"
