windows 事件紀錄簿 log解讀的問題

loke0204 2015-09-11 11:46:23 ‧ 4925 瀏覽

分享至

大家好請問一下 windows事件簿發現半夜有這些log

帳戶已登出。

主旨:
安全性識別碼: SYSTEM
帳戶名稱: XX-01$
帳戶網域: AAAA
登入識別碼: 0xD6DF3

登入類型: 3

當登入工作階段損毀時，就會產生這個事件。這個事件可能與使用登入識別碼數值的登入事件正面相關。登入識別碼僅有在重新啟動相同電腦之間才會是唯一的。

帳戶已登出。

主旨:
安全性識別碼: SYSTEM
帳戶名稱: XX-01$
帳戶網域: AAAA
登入識別碼: 0xD6DF3

登入類型: 3

請問有人看得懂嗎可否解讀&解釋一下如何看
謝謝各位大大

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

htcj0110

iT邦新手 5 級 ‧ 2015-09-12 12:07:48

事件檢視器日誌,關於帳戶的登入登出可看Security,而System的部份則會較為繁雜.除了上述2個外,還有一堆evtx,也有些會與遠端登入有關.也要加以檢視.
除此之外,你應該要清楚該伺服器/電腦的哪些服務與遠端連入有關,以及,它們用了哪些port,如此在檢視外部及本機防火牆日誌時,心裡才有底.
若還是對特定日期或時間的活動狀況有所懷疑,還可以進行惡意程式分析或Timeline分析,不過,這就需要有受過專業訓練機構培訓才有辦法做的來.網路上查一下惡意程式分析或網路鑑識分析,應該就有了.