iT邦幫忙

0

windows 事件紀錄簿 log解讀的問題

大家好 請問一下 windows事件簿發現半夜 有這些log

帳戶已登出。

主旨:
安全性識別碼: SYSTEM
帳戶名稱: XX-01$
帳戶網域: AAAA
登入識別碼: 0xD6DF3

登入類型: 3

當登入工作階段損毀時,就會產生這個事件。這個事件可能與使用登入識別碼數值的登入事件正面相關。登入識別碼僅有在重新啟動相同電腦之間才會是唯一的。

帳戶已登出。

主旨:
安全性識別碼: SYSTEM
帳戶名稱: XX-01$
帳戶網域: AAAA
登入識別碼: 0xD6DF3

登入類型: 3

當登入工作階段損毀時,就會產生這個事件。這個事件可能與使用登入識別碼數值的登入事件正面相關。登入識別碼僅有在重新啟動相同電腦之間才會是唯一的。

請問有人看得懂嗎 可否解讀&解釋一下 如何看
謝謝各位大大

1 個回答

2
htcj0110
iT邦新手 5 級 ‧ 2015-09-12 12:07:48

事件檢視器日誌,關於帳戶的登入登出可看Security,而System的部份則會較為繁雜.除了上述2個外,還有一堆evtx,也有些會與遠端登入有關.也要加以檢視.
除此之外,你應該要清楚該伺服器/電腦的哪些服務與遠端連入有關,以及,它們用了哪些port,如此在檢視外部及本機防火牆日誌時,心裡才有底.
若還是對特定日期或時間的活動狀況有所懷疑,還可以進行惡意程式分析或Timeline分析,不過,這就需要有受過專業訓練機構培訓才有辦法做的來.網路上查一下惡意程式分析或網路鑑識分析,應該就有了.

我要發表回答

立即登入回答