Windows2008系统安全日志分析
1、IPC连接成功后会生成一个事件ID为4624的安全事件,示例如下:
已成功登录帐户。
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
登录类型: 3
新登录:
安全 ID: WIN-XXX\Administrator
帐户名: Administrator
帐户域: WIN-XXX
登录 ID: 0x1012a1
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0x0
进程名: -
网络信息:
工作站名: CORP-XXX \\这