windows安全日志時(shí)夺英，經(jīng)常發(fā)現(xiàn)登錄類型的值不同晌涕。有2，3痛悯，5余黎，8等。最常見的類型是2 (交互式)和3 (網(wǎng)絡(luò))载萌。

下面詳細(xì)列出了可能的登錄類型值

登錄類型2：交互式登錄（Interactive）

這應(yīng)該是你最先想到的登錄方式吧惧财，所謂交互式登錄就是指用戶在計(jì)算機(jī)的控制臺(tái)上進(jìn)行的登錄，也就是在本地鍵盤上進(jìn)行的登錄扭仁。

登錄類型3：網(wǎng)絡(luò)（Network）

當(dāng)你從網(wǎng)絡(luò)的上訪問一臺(tái)計(jì)算機(jī)時(shí)在大多數(shù)情況下Windows記為類型3垮衷，最常見的情況就是連接到共享文件夾或者共享打印機(jī)時(shí)。另外大多數(shù)情況下通過網(wǎng)絡(luò)登錄IIS時(shí)也被記為這種類型乖坠，但基本驗(yàn)證方式的IIS登錄是個(gè)例外搀突，它將被記為類型8，下面將講述瓤帚。

成功的網(wǎng)絡(luò)登錄:

用戶名:

域:

登錄ID: (0x2,0xFC38EC05)

登錄類型: 3

登錄過程: NtLmSsp

身份驗(yàn)證數(shù)據(jù)包: NTLM

工作站名: 098B11CAF05E4A0

登錄GUID: -

調(diào)用方用戶名: -

調(diào)用方域: -

調(diào)用方登錄ID: -

調(diào)用方進(jìn)程ID: -

傳遞服務(wù): -

源網(wǎng)絡(luò)地址: 192.168.197.35

源端口: 0

調(diào)用方進(jìn)程名稱: %16

登錄類型4：批處理（Batch）

當(dāng)Windows運(yùn)行一個(gè)計(jì)劃任務(wù)時(shí)描姚，“計(jì)劃任務(wù)服務(wù)”將為這個(gè)任務(wù)首先創(chuàng)建一個(gè)新的登錄會(huì)話以便它能在此計(jì)劃任務(wù)所配置的用戶賬戶下運(yùn)行涩赢，當(dāng)這種登錄出現(xiàn)時(shí)戈次，Windows在日志中記為類型4，對于其它類型的工作任務(wù)系統(tǒng)筒扒，依賴于它的設(shè)計(jì)怯邪，也可以在開始工作時(shí)產(chǎn)生類型4的登錄事件，類型4登錄通常表明某計(jì)劃任務(wù)啟動(dòng)花墩，但也可能是一個(gè)惡意用戶通過計(jì)劃任務(wù)來猜測用戶密碼悬秉，這種嘗試將產(chǎn)生一個(gè)類型4的登錄失敗事件澄步，但是這種失敗登錄也可能是由于計(jì)劃任務(wù)的用戶密碼沒能同步更改造成的，比如用戶密碼更改了和泌，而忘記了在計(jì)劃任務(wù)中進(jìn)行更改村缸。

登錄類型5：服務(wù)（Service）

與計(jì)劃任務(wù)類似，每種服務(wù)都被配置在某個(gè)特定的用戶賬戶下運(yùn)行武氓，當(dāng)一個(gè)服務(wù)開始時(shí)梯皿，Windows首先為這個(gè)特定的用戶創(chuàng)建一個(gè)登錄會(huì)話，這將被記為類型5县恕，失敗的類型5通常表明用戶的密碼已變而這里沒得到更新东羹，當(dāng)然這也可能是由惡意用戶的密碼猜測引起的，但是這種可能性比較小忠烛，因?yàn)閯?chuàng)建一個(gè)新的服務(wù)或編輯一個(gè)已存在的服務(wù)默認(rèn)情況下都要求是管理員或serversoperators身份属提，而這種身份的惡意用戶，已經(jīng)有足夠的能力來干他的壞事了美尸，已經(jīng)用不著費(fèi)力來猜測服務(wù)密碼了冤议。

已成功登錄帳戶。

主題:

安全I(xiàn)D: SYSTEM

帳戶名: NAUTICAR-X200$

帳戶域: WORKGROUP

登錄ID: 0x3e7

登錄類型: 5

新登錄:

安全I(xiàn)D: SYSTEM

帳戶名: SYSTEM

帳戶域: NT AUTHORITY

登錄ID: 0x3e7

登錄GUID:{00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程ID: 0x254

進(jìn)程名: C:\Windows\System32\services.exe

網(wǎng)絡(luò)信息:

工作站名:

源網(wǎng)絡(luò)地址: -

源端口: -

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: Advapi

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限NTLM): -

密鑰長度: 0

在創(chuàng)建登錄會(huì)話后在被訪問的計(jì)算機(jī)上生成此事件火惊。

“主題”字段指明本地系統(tǒng)上請求登錄的帳戶求类。這通常是一個(gè)服務(wù)(例如Server服務(wù))或本地進(jìn)程(例如Winlogon.exe或Services.exe)。

登錄類型7：解鎖（Unlock）

你可能希望當(dāng)一個(gè)用戶離開他的計(jì)算機(jī)時(shí)相應(yīng)的工作站自動(dòng)開始一個(gè)密碼保護(hù)的屏保屹耐，當(dāng)一個(gè)用戶回來解鎖時(shí)尸疆，Windows就把這種解鎖操作認(rèn)為是一個(gè)類型7的登錄，失敗的類型7登錄表明有人輸入了錯(cuò)誤的密碼或者有人在嘗試解鎖計(jì)算機(jī)惶岭。

登錄類型8：網(wǎng)絡(luò)明文（NetworkCleartext）

這種登錄表明這是一個(gè)像類型3一樣的網(wǎng)絡(luò)登錄寿弱，但是這種登錄的密碼在網(wǎng)絡(luò)上是通過明文傳輸?shù)模琖indowsServer服務(wù)是不允許通過明文驗(yàn)證連接到共享文件夾或打印機(jī)的按灶，據(jù)我所知只有當(dāng)從一個(gè)使用Advapi的ASP腳本登錄或者一個(gè)用戶使用基本驗(yàn)證方式登錄IIS才會(huì)是這種登錄類型症革。“登錄過程”欄都將列出Advapi鸯旁。

成功的網(wǎng)絡(luò)登錄:

用戶名: IUSR_HP-8DFC7CA1B32C

域: HP-8DFC7CA1B32C

登錄ID: (0x0,0x89F503)

登錄類型: 8

登錄過程: Advapi

身份驗(yàn)證數(shù)據(jù)包: Negotiate

工作站名: HP-8DFC7CA1B32C

登錄GUID: -

調(diào)用方用戶名: NETWORK SERVICE

調(diào)用方域: NT AUTHORITY

調(diào)用方登錄ID: (0x0,0x3E4)

調(diào)用方進(jìn)程ID: 3656

傳遞服務(wù): -

源網(wǎng)絡(luò)地址: -

源端口: -

調(diào)用方進(jìn)程名稱: %16

登錄類型9：新憑證（NewCredentials）

當(dāng)你使用帶/Netonly參數(shù)的RUNAS命令運(yùn)行一個(gè)程序時(shí)噪矛，RUNAS以本地當(dāng)前登錄用戶運(yùn)行它，但如果這個(gè)程序需要連接到網(wǎng)絡(luò)上的其它計(jì)算機(jī)時(shí)铺罢，這時(shí)就將以RUNAS命令中指定的用戶進(jìn)行連接艇挨，同時(shí)Windows將把這種登錄記為類型9，如果RUNAS命令沒帶/Netonly參數(shù)韭赘，那么這個(gè)程序就將以指定的用戶運(yùn)行缩滨，但日志中的登錄類型是2。

登錄類型10：遠(yuǎn)程交互（RemoteInteractive）

當(dāng)你通過終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計(jì)算機(jī)時(shí)脉漏，Windows將記為類型10苞冯，以便與真正的控制臺(tái)登錄相區(qū)別，注意XP之前的版本不支持這種登錄類型侧巨，比如Windows2000仍然會(huì)把終端服務(wù)登錄記為類型2舅锄。

登錄類型11：緩存交互（CachedInteractive）

Windows支持一種稱為緩存登錄的功能，這種功能對移動(dòng)用戶尤其有利司忱，比如你在自己網(wǎng)絡(luò)之外以域用戶登錄而無法登錄域控制器時(shí)就將使用這種功能巧娱，默認(rèn)情況下，Windows緩存了最近10次交互式域登錄的憑證HASH烘贴，如果以后當(dāng)你以一個(gè)域用戶登錄而又沒有域控制器可用時(shí)禁添，Windows將使用這些HASH來驗(yàn)證你的身份。

上面講了Windows的登錄類型桨踪，但默認(rèn)情況下Windows2000是沒有記錄安全日志的老翘，你必須先啟用組策略“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/審核策略”下的“審核登錄事件”才能看到上面的記錄信息。希望這些詳細(xì)的記錄信息有助于大家更好地掌握系統(tǒng)情況锻离，維護(hù)網(wǎng)絡(luò)安定铺峭。