有DC日志权限
搜索Security-Auditing log里面事件ID为4624,4625的日志
4625为认证失败的事件,4624为认证成功的事件,日志如下:
Dec 21 15:25:59 AD-DC Security-Auditing: 4625: AUDIT_FAILURE 帐户登录失败。 使用者: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 登录类型: 3 登录失败的帐户: 安全 ID: S-1-0-0 帐户名: xx 帐户域: XXXX 失败信息: 失败原因: 未知用户名或密码错误。 状态: 0xC000006D 子状态: 0xC000006A 进程信息: 调用方进程 ID: 0x0 调用方进程名: - 网络信息: 工作站名: PA-500 源网络地址: 1.1.2.40 源端口: 44096 详细身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 登录请求失败时在尝试访问的计算机上生成此事件。 “使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。 “进程信息”字段表明系统上的哪个帐户和进程请求了登录。 “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。 “身份验证信息”字段提供关于此特定登录请求的详细信息。 -“传递服务”指明哪些直接服务参与了此登录请求。 -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。 -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
Dec 21 15:16:57 AD-DC Security-Auditing: 4624: AUDIT_SUCCESS 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名: AD-DC$ 帐户域: XXXX 登录 ID: 0x3E7 登录类型: 3 模拟级别: 模拟 新登录: 安全 ID: S-1-5-21-1518672758--1500 帐户名: xx 帐户域: XXXX 登录 ID: 0x2A8E127 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3d0 进程名: C:\Windows\System32\lsass.exe 网络信息: 工作站名: AD-HB-LS-DC 源网络地址: 1.1.1.59 源端口: 65440 详细身份验证信息: 登录进程: Advapi 身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话后,在被访问的计算机上生成此事件。 “使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指明新登录是为哪个帐户创建的,即登录的帐户。 “网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。 模拟级别字段指明登录会话中的进程可以模拟的程度。 “身份验证信息”字段提供关于此特定登录请求的详细信息。 -“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指明哪些中间服务参与了此登录请求。 - “数据包名”指明在 NTLM 协议之间使用了哪些子协议。 -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
over!
REF:
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/event-4624