服务器安全日志显示审核失败,服务器上大量的ID为4625的审核失败日志

最新推荐文章于 2024-05-06 14:15:53 发布
最新推荐文章于 2024-05-06 14:15:53 发布
阅读量4.7k 收藏 1
点赞数
文章标签: 服务器安全日志显示审核失败

复制内容到剪贴板

代码:日志名称: Security

来源: Microsoft-Windows-Security-Auditing

日期: 2020/12/9 9:09:01

事件 ID: 4625

任务类别: 登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: hx2017

描述:

帐户登录失败。

主题:

安全 ID:        SYSTEM

帐户名:        HX2017$

帐户域:        WORKGROUP

登录 ID:        0x3e7

登录类型:        7

登录失败的帐户:

安全 ID:        NULL SID

帐户名:        Administrator

帐户域:        HX2017

失败信息:

失败原因:        未知用户名或密码错误。

状态:        0xc000006d

子状态:        0xc000006a

进程信息:

调用方进程 ID:        0x1b68

调用方进程名:        C:\Windows\System32\LogonUI.exe

网络信息:

工作站名:        HX2017

源网络地址:        -

源端口:        -

详细身份验证信息:

登录进程:        Advapi

身份验证数据包:        Negotiate

传递服务:        -

数据包名(仅限 NTLM): 

最低0.47元/天 解锁文章
暗夜独舞春上雪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器显示大量审核登录成功,服务器出现大批量登录审核失败/NtLmSsp攻击
weixin_39625468的博客
08-12 3217
问题:服务器出现大批量登录审核失败详细信息:---重点红色标注日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2020/7/28 16:47:37事件 ID: 4625任务类别: 登录级别: 信息关键字: 审核失败...
Windows安全日志中,大量的事件ID4625
weixin_30268921的博客
07-10 8169
最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用Server服务,在“网络和共享中心”中,关闭所有共享----->无效。 尝试操作2:编写一个powershell脚本,用来阻止外网IP----->这...
服务器系统日志4625,事件4625窗口安全审核无法登录 . 失败原因:未知用户名或密码错误...
weixin_28888459的博客
08-12 6359
我有Windows服务器2012 R2天蓝色虚拟实例,并且很少有端口打开,即(80,443,RDC) . 我在安全性部分中观察了以下日志到Windows事件查看器 .事件4625:Microsoft Windows安全审核-------日志描述开始帐户无法登录 .学科:安全ID:NULL SID用户名: -帐户域名: -登录ID:0x0登录类型:3登录失败的帐户:安全ID:NULL SID帐户名称...
Windows日志基础
最新发布
qq_59102311的博客
05-06 963
搜索事件查看器,点击打开。
windows安全日志事件ID4625错误
05-06
详细讲解windows安全日志事件ID4625错误
服务器系统日志4625,win2008 r2 成千上万的“审核失败日志 事件ID 4625
weixin_34214135的博客
08-12 3170
环境:域控2008 r2 sp1 客户端 xp sp3 客户端 300台 ,已部署企业安全卫士,打了补丁,组策略中,域控和客户端已经取消安全审核情况:dns不指向域控 无审核失败日志,指向域控 每秒有200条审核失败百度到的微软解释:http://support.microsoft.com/kb/2549079/zh-cn,替代方法中我试过把计划任务服务停止,计划任务清空,历史记录不知道在哪里查看...
详细分析Windows安全日志事件ID 4625:一个帐户登录失败
热门推荐
0x12的专栏
03-09 5万+
每一个失败的尝试登录本地计算机无论登录类型,用户的位置或类型的帐户。主题:标识要求的账户登录的用户,而不是只是尝试登录。主题通常是Null或服务主体之一,通常不会有用的信息。看到刚刚loffed新登录到系统中。登录类型:这是一个有价值的信息,因为它告诉你用户登录:登录类型 描述 2 互动(键盘和屏幕的登录系统) 3 网络(即连接到共享文件夹从其他地方在这台电脑上网络) 4 批处理(即计划任...
服务器日志4625登录验证失败
chengg0769 平淡无奇见真知
02-07 2268
最近云服务器出现这个日志错误,查了资料是有外部尝试不断登录。设置安全组合防火墙都不起作用。 找到一篇文章找下图设置解决问题 也可以用IP安全策略屏蔽到135,139,445端口。 ...
Spring Boot2配置服务器访问日志过程解析
08-25
Spring Boot 2 配置服务器访问日志过程解析 Spring Boot 2 配置服务器访问日志过程...Spring Boot 2 配置服务器访问日志过程解析可以帮助开发者更好地了解服务器的请求情况和处理情况,从而提高服务器的性能和安全性。
shell脚本编程:一键批量查询多台服务器集群上的日志.pdf
01-17
`Shell`脚本编程提供了一种自动化处理任务的方式,特别是在批量查询多台服务器上的日志时,能够极大地提高工作效率。本篇文档主要介绍了一个`Shell`脚本实例,用于一键查询分布在多台服务器上的日志,假设所有服务器...
系统日志统计,用于服务器巡检
06-20
系统可以自定义日志ID日志类别,统计结果包括事件ID,次数,运行结果留存。实现按月统计。减轻服务器管理员的手工操作。
服务器日志查看_MyEventViewer_v1.37_bkill
12-30
5. **实时更新:** MyEventViewer可以实时监控服务器日志,一旦有新的日志产生,软件会立即更新显示,无需手动刷新。 6. **过滤与排序:** 提供丰富的过滤选项,可以根据事件级别、来源、描述等条件进行过滤,同时...
windows服务器如何记录IP登录日志,如何记录哪些IP登陆过此服务器
11-11
本文将详细讲解如何记录和管理Windows服务器上的IP登录日志,以及如何清除这些记录。 一、Windows服务器IP登录日志 1. 事件查看器:Windows操作系统内置了事件查看器(Event Viewer),它记录了系统的各种事件,包括...
服务器安全日志显示审核失败,如何将服务器审核事件写入安全日志
weixin_28674303的博客
08-06 901
在高度安全环境中,Windows 安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持,但是更易被篡改。将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求:必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。在 Windows Vista 和 Windows Server 2008 中,使用审核策略工具 (auditpol.exe)...
查询指定时间内审核失败的事件日志
weixin_34148508的博客
03-30 187
查询指定时间内审核失败的事件日志,必须要加namespace,否则无返回 $s = get-date "3/30/2016 13:54:03" $e = get-date "3/30/2016 13:55:03" $stime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($s) $etime = [...
win2008系统日志不断出现【审核失败
weixin_30294709的博客
03-11 1579
win2008系统日志不断出现【审核失败】 【现象】 今天查看windows日志,在 -安全- 发现不断有消息刷出,显示 -审核失败- 事件ID为4624 的记录 每分钟大概刷新8条消息(如图) 【个人判断】 可能存在不断的尝试性登入,试图在短时间内不断的以多个帐密测试破解登入帐密,攻...
Windows安全日志分析
安全狐
11-16 1万+
Windows的日志文件主要有系统日志、应用程序日志安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
Winserver 2008事件日志-事件ID详解
Jason_WangYing的博客
03-16 3万+
最近在研究服务器安全性,发现有未知登录,然后开始研究,当然第一步是需要读懂事件日志的,winserver上的事件是按照事件ID来标示的。   审计目录服务访问   4934 - Active Directory 对象的属性被复制   4935 -复制失败开始   4936 -复制失败结束   5136 -目录服务对象已修改   5137 -目录服务对象已创建   5138 -目录服务
如何查看部署在centos服务器上docker容器中的mongodb数据库的审计日志
06-02
部署在 CentOS 服务器上的 Docker 容器中运行的 MongoDB 数据库的审计日志通常会记录在容器内的 `/var/log/mongodb/audit.log` 文件中。您可以通过以下步骤查看该文件: 1. 使用 `docker ps` 命令查看正在运行的 MongoDB 容器的容器 ID: ``` $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 68d1a5c0009c mongo:latest "docker-entrypoint.s…" 5 minutes ago Up 5 minutes 0.0.0.0:27017->27017/tcp mongodb ``` 其中,`mongodb` 是 MongoDB 容器的名称。 2. 使用 `docker exec` 命令进入该容器,并查看 `/var/log/mongodb/audit.log` 文件: ``` $ docker exec -it mongodb bash root@68d1a5c0009c:/# cat /var/log/mongodb/audit.log ``` 这将打开一个交互式终端,您可以在其中执行各种命令。然后,您可以使用 `cat` 命令查看 `/var/log/mongodb/audit.log` 文件的内容。 另外,如果您已经知道了 MongoDB 容器的审计日志文件所在路径,您也可以使用 `docker cp` 命令将该文件从容器复制到宿主机上,例如: ``` $ docker cp mongodb:/var/log/mongodb/audit.log /path/to/local/directory ``` 这将把容器中的 `/var/log/mongodb/audit.log` 文件复制到本地目录 `/path/to/local/directory` 中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值