Windows日志浅析（五） (2010-04-12 23:22:17)

转载▼

标签： 杂谈   分类： MSN搬家  

上一篇文章简单分析了用户登录时的认证事件，接下来我们再来看看和之紧密关联的登录/登出事件。

总体来看，登录/登出事件对可以很好地追踪用户在一台主机上完整活动过程的起至点，和登录方式无关。此外可以提供一些“帐户登录”没有的信息，例如登录的类型。此外对终端服务的活动专门用两个事件ID来标识。ok，我们开始分析，同样从5种类型分别进行分析。

1、本地方式的登录和登出

Randy大神在书中只提到了Windows使用两个事件ID528和540记录用户成功的登录（后者对应网络类型的登录），登出使用ID530。然而事实上同时发生的事件不只限于这些，那么让我们来看看用户简单的登录和登出活动至少会触发那些事件。

首先是成功的登录，从日志分析来看至少会有2个事件发生，分别为ID552和528，以下从左到右分别是各自的截图。

现在来各种进行详细分析，首先是ID552事件，该事件说明有人使用身份凭据在尝试登录，并且头字段中的用户名为SYSTEM。看看描述信息中有什么好东西：

使用明确凭据的登录尝试:    （说明有人在尝试登录）
登录的用户:
     用户名:    WIN2003$    （主机名加了$后缀）
     域:        WORKGROUP   （主机的域名，此例中主机在名称为“WORKGROUP”的工作组中）
     登录 ID:        (0x0,0x3E7)
     登录 GUID:    -
凭据被使用的用户:
     目标用户名:    Administrator    （登录使用的用户名）
     目标域:    WIN2003           （要登录的主机名）
     目标登录 GUID: -

目标服务器名称:    localhost
目标服务器信息:    localhost
调用方进程 ID:    1612
源网络地址:    127.0.0.1        （从IP地址很容易判断是本地登录）
源端口:    0

这里有一点要说明一下，Windows对这条日志的解释是“一个已登录的用户尝试使用另外一个用户凭证创建登录会话，例如使用“RUNAS”命令来运行某个可执行文件”。但事实上第1次用户成功登录后也会产生这个事件。

接着是ID528事件，此时头字段中的用户名也变成真实的用户名，看看描述信息中有什么东西：

登录成功:        （说明用户已成功登录）
     用户名:     Administrator    （登录使用的用户名）
     域:         WIN2003            （被登录主机所属的域的域名，如果不在域中为主机名）
     登录 ID:         (0x0,0x37BF9)     （此登录ID在计算机重启前会保持其唯一性，重启后可能会被再次使用。该ID很重要，因为可以关联用户随后的很多活动如对象访问！）
     登录类型:     2     （各种类型含义及数字见后面的表格）
     登录进程:     User32 
     身份验证数据包:     Negotiate
     工作站名:    WIN2003     （记录发起登录请求的计算机的Netbios名）
     登录 GUID:    -
     调用方用户名:    WIN2003$
     调用方域:    WORKGROUP
     调用方登录 ID:    (0x0,0x3E7)    （注意，此ID和ID552事件描述信息的登录ID是一样的）
     调用方进程 ID: 1612
     传递服务: -
     源网络地址:    127.0.0.1   （同样从IP地址很容易判断是本地登录）
     源端口:    0