服务器安全日志显示审核失败,服务器上大量的ID为4625的审核失败日志

最新推荐文章于 2024-09-23 09:05:16 发布

暗夜独舞春上雪

最新推荐文章于 2024-09-23 09:05:16 发布

阅读量5k

点赞数

文章标签：服务器安全日志显示审核失败

服务器在2020年12月9日记录了大量的ID为4625的审核失败日志，事件涉及尝试以'Administrator'账户登录但失败，错误原因为未知用户名或密码错误。这些登录尝试来源于本地系统进程'LogonUI.exe'，可能是由于恶意攻击或配置问题导致。

摘要由CSDN通过智能技术生成

复制内容到剪贴板

代码:日志名称: Security

来源: Microsoft-Windows-Security-Auditing

日期: 2020/12/9 9:09:01

事件 ID: 4625

任务类别: 登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: hx2017

描述:

帐户登录失败。

主题:

安全 ID: SYSTEM

帐户名: HX2017$

帐户域: WORKGROUP

登录类型: 7

登录失败的帐户:

安全 ID: NULL SID

帐户名: Administrator

帐户域: HX2017

失败信息:

失败原因: 未知用户名或密码错误。

状态: 0xc000006d

子状态: 0xc000006a

进程信息:

调用方进程 ID: 0x1b68

调用方进程名: C:\Windows\System32\LogonUI.exe

网络信息:

工作站名: HX2017

源网络地址: -

源端口: -

详细身份验证信息:

登录进程: Advapi

身份验证数据包: Negotiate

传递服务: -

数据包名(仅限 NTLM):

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

暗夜独舞春上雪

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Windows安全日志中，大量的事件ID4625；

weixin_30268921的博客

07-10

8500

最近偶然发现Windows安全日志（Win10_64位）中有大量的网络登录失败记录（事件ID为4625），大量的外网IP尝试后台登录我的计算机，感觉公司的网络已经不安全了，只能自己想办法尽量保护好自己电脑。尝试操作1：禁用Server服务，在“网络和共享中心”中，关闭所有共享----->无效。尝试操作2：编写一个powershell脚本，用来阻止外网IP----->这...

安全日志审计系统服务器,日志审计服务器

weixin_28854171的博客

08-13

1865

日志审计服务器 内容精选换一换本地使用远程桌面连接登录Windows server 2012云服务器，报错：122.112...，服务器频繁掉线，Windows登录进程意外中断。系统资源不足或不可用。服务启动失败。通过VNC方式登录云服务器。单击打开服务管理，选择“管理工具 > 事件查看器 > Windows日志 > 系统 > 筛选当前日志”。事件查看器在“事件级别”负载均...

参与评论您还未登录，请先登录后发表或查看评论

windows安全日志事件ID4625错误

05-06

详细讲解windows安全日志事件ID4625错误

Win11系统提示找不到SecurityAuditPoliciesSnapIn.resources.dll文件的解决办法

最新发布

file

09-23

683

其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题，如果是新手第一时间会认为是软件或游戏出错了，其实并不是这样，其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库，这时你可以下载这个SecurityAuditPoliciesSnapIn.resources.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中，当我们执行某一个.exe程序时，相应的DLL文件就会被调用，因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.

服务器系统日志4625,事件4625窗口安全审核无法登录 . 失败原因：未知用户名或密码错误...

weixin_28888459的博客

08-12

6734

我有Windows服务器2012 R2天蓝色虚拟实例，并且很少有端口打开，即(80,443，RDC) . 我在安全性部分中观察了以下日志到Windows事件查看器 .事件4625：Microsoft Windows安全审核-------日志描述开始帐户无法登录 .学科：安全ID：NULL SID用户名： -帐户域名： -登录ID：0x0登录类型：3登录失败的帐户：安全ID：NULL SID帐户名称...

服务器系统日志4625,win2008 r2 成千上万的“审核失败”日志事件ID 4625

weixin_34214135的博客

08-12

3422

环境：域控2008 r2 sp1 客户端 xp sp3 客户端 300台，已部署企业安全卫士，打了补丁，组策略中，域控和客户端已经取消安全审核情况：dns不指向域控无审核失败日志，指向域控每秒有200条审核失败百度到的微软解释：http://support.microsoft.com/kb/2549079/zh-cn，替代方法中我试过把计划任务服务停止，计划任务清空，历史记录不知道在哪里查看...

云服务器日志4625登录验证失败

chengg0769 平淡无奇见真知

02-07

2375

最近云服务器出现这个日志错误，查了资料是有外部尝试不断登录。设置安全组合防火墙都不起作用。找到一篇文章找下图设置解决问题也可以用IP安全策略屏蔽到135，139，445端口。 ...

服务器安全日志显示审核失败,与服务器上，安全日志出现大量的675 680错误，该如何解决？...

weixin_26850069的博客

08-10

846

错误如下：大量的错误事件类型:审核失败事件来源:Security事件种类:帐户登录事件 ID:680日期:2010-12-1事件:16:29:10用户:NT AUTHORITY\SYSTEM计算机:EXC描述:尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登录帐户: glspbcb源工作站: TDB-HW错误代码: 0x...

服务器安全日志显示审核失败,如何将服务器审核事件写入安全日志

weixin_28674303的博客

08-06

991

在高度安全环境中，Windows 安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持，但是更易被篡改。将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求：必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。在 Windows Vista 和 Windows Server 2008 中，使用审核策略工具 (auditpol.exe)...

windows服务器审计日志存放位置,windows服务器审计日志存放位置

weixin_29430629的博客

08-06

4279

windows服务器审计日志存放位置内容精选换一换Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。若用户未配置审计日志转储，当审计日志达到十万条，系统自动将这十万条审计日志保存到文件中。保存路径为主管理节为加强对...

日志审计系统如何和服务器互联,服务器如何查看审计日志

weixin_42524883的博客

08-09

1790

服务器如何查看审计日志内容精选换一换云审计CTS与LTS进行系统对接后，系统自动在云日志服务控制台创建的日志组和日志流，如果需要将CTS的日志转储至OBS中，您需要进行以下操作：在云审计服务管理控制台，单击左侧导航栏中的“追踪器”。单击追踪器“system”右侧的“配置”。在“配置追踪器”页面，开启“事件分析”。在云日志服务管理控制台，选择左侧导航栏中的“日志转储”，单击“如果变更规格失败，请到...

思科配置系统日志服务器配置,思科路由器设置日志服务器配置

weixin_29531177的博客

08-11

1523

思科路由器设置日志服务器配置内容精选换一换简要介绍Rsyslog是一个集中日志管理工具，基于流行的服务端/客户端模式，通过TCP或者UDP传输协议来发送日志信息，或者从网络设备、服务器、路由器、交换机、以及其它系统或嵌入式设备中接收生成的日志。语言：C一句话概述：集中日志管理工具云服务器要求本文以云服务器KC1实例测试，云服务器配置如表1所示。操作系统要求操作系统要求如表2所示。kuberne...

服务器日志显示好多错误,我的一台Web应用服务的安全日志出现好多ID是529和680的审核失败的日志,奇怪的是登陆名是数据库服务器计算机的名称+$...

weixin_35648005的博客

08-13

668

说明:1、我的WEB服务器和数据服务器都是windows server 2003 R2 sp2，数据库用的是ＳＱＬＳｅｒｖｅｒ　２００５２、出现这样的日志每天都有很多(我的应用能正常使用)日志内容：事件类型:审核失败事件来源:Security事件种类:登录/注销事件 ID:529日期:2011-7-25事件:8:01:09用户:NT AUTHORITY\SYSTEM计算机:WE...

查询指定时间内审核失败的事件日志

weixin_34148508的博客

03-30

205

查询指定时间内审核失败的事件日志，必须要加namespace，否则无返回 $s = get-date "3/30/2016 13:54:03" $e = get-date "3/30/2016 13:55:03" $stime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($s) $etime = [...

详细分析Windows安全日志事件ID 4625:一个帐户登录失败

阿斌(Ben)的博客

10-17

3539

原文地址： https://blog.csdn.net/lygzscnt12/article/details/79495361?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn

win2008系统日志不断出现【审核失败】

weixin_30294709的博客

03-11

1635

win2008系统日志不断出现【审核失败】【现象】今天查看windows日志，在 -安全- 发现不断有消息刷出，显示 -审核失败- 事件ID为4624 的记录每分钟大概刷新8条消息（如图）【个人判断】可能存在不断的尝试性登入，试图在短时间内不断的以多个帐密测试破解登入帐密，攻...

Windows安全日志分析

安全狐

11-16

1万+

Windows的日志文件主要有系统日志、应用程序日志、安全日志这三类，另外，根据不同的系统服务配置可能还会产生其他的日志文件，如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录，EventLog服务由Windows服务管理器（%SystemRoot%\system32\services.exe）启动并管理。

Winserver 2008事件日志-事件ID详解