本文介绍了在IT系统中,通过事件ID追踪安全日志的重要性,重点关注了用户登录(如4624-4648)、用户管理操作(如720-4735),以及如何通过这些ID来排查和审计系统行为。
日志排查时,通常会根据事件ID搜索日志。
1、安全日志
用户登录事件:
4624:登录成功
4625:登录失败
4634:注销本地登录用户
4647:注销远程登录的用户
4648:使用显式凭证尝试登录
4672:新登录的用户被分配管理员权限
用户管理事件:
720:新建用户
4722:启用新用户
4724:修改用户密码
4725:禁用用户
4726:删除用户
4731:创建用户组
4732:添加用户到用户组
4733:从组中删除用户
4734:删除用户组。
4735:安全组更改
4738:修改用户账户
4798:枚举本地用户组
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
