日志排查时,通常会根据事件ID搜索日志。
1、安全日志
用户登录事件:
4624:登录成功
4625:登录失败
4634:注销本地登录用户
4647:注销远程登录的用户
4648:使用显式凭证尝试登录
4672:新登录的用户被分配管理员权限
用户管理事件:
720:新建用户
4722:启用新用户
4724:修改用户密码
4725:禁用用户
4726:删除用户
4731:创建用户组
4732:添加用户到用户组
4733:从组中删除用户
4734:删除用户组。
4735:安全组更改
4738:修改用户账户
4798:枚举本地用户组