Suceso de seguridad para asociar sucesos de inicio de sesión de la cuenta de servicio

Seleccione idioma Seleccione idioma
Id. de artículo: 274176 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E274176
Expandir todo | Contraer todo

En esta página

Resumen

En Windows 2000 y las versiones anteriores de Windows, no era posible asociar un suceso de inicio de sesión de cuenta (Id. de suceso de seguridad 528) con un suceso de creación de procesos para muchos procesos, como los servicios. Sin embargo, un administrador puede utilizar el Id. de suceso de seguridad 600 (que se incluye con Microsoft Windows XP) para realizar esta asociación. En este artículo se explica el modo de interpretar el registro de sucesos de seguridad con el fin de que pueda comprender estos sucesos.

Más información

Si va a auditar sucesos de inicio de sesión de cuenta, sucesos de inicio de sesión y seguimiento de procesos, los cinco sucesos siguientes se registran cuando se inicia un servicio con una cuenta de usuario:
  • Solicitud de vale Kerberos
    (672 Inicio de sesión de la cuenta)
  • Vale Kerberos concedido
    (673 Inicio de sesión de la cuenta)
  • Inicios de sesión de cuenta
    (528 Inicio de sesión/cierre de sesión)
  • Se inicia el proceso de servicio
    (592 Seguimiento detallado)
  • Cuenta que inició el servicio registrado
    (600 Seguimiento detallado)
Los siguientes sucesos de ejemplo se producen cuando el servicio Registro de licencias se ha iniciado mediante una cuenta de dominio.

Solicitud de vale Kerberos

 
 Tipo de suceso:	Auditoría de aciertos
 Origen del suceso:	Seguridad 
 Categoría del suceso:	Inicio de sesión de la cuenta
 Id. de suceso: 672
 Fecha:		08/14/2000
 Hora:		05:13:02
 Usuario:		NT AUTHORITY\SYSTEM
 Equipo: <nombre de equipo>
 Descripción:
 Solicitud de vale de autenticación:
 	Nombre de usuario:		<nombre de usuario>
 	Nombre de territorio suministrado:	<nombre de territorio>
 	Id. de usuario: <nombre de territorio>\<nombre de usuario>
 	Nombre de servicio:		<nombre de servicio>
 	Id. de servicio:		<nombre de territorio>\<nombre de servicio>
 	Opciones de vale:		0x40810010
 	Código de resultado:		-
 	Tipo de cifrado de vale:	0x17
 	Tipo de preautenticación:	2
 	Dirección de cliente:		127.0.0.1

Vale Kerberos concedido

 Tipo de suceso:	Auditoría de aciertos
 Origen del suceso:	Seguridad
 Categoría del suceso:	Inicio de sesión de la cuenta
 Id. de suceso: 673
 Fecha:		08/14/2000
 Hora:		05:13:02
 Usuario:		NT AUTHORITY\SYSTEM
 Equipo: <nombre de equipo>
 Descripción:
 Vale de servicio concedido:
 	Nombre de usuario:		<nombre de usuario>
 	Dominio de usuario:		<nombre de dominio de usuario>
 	Nombre de servicio:		<nombre de equipo>$
 	Id. de servicio:		<nombre de dominio de usuario>\<nombre de equipo>$
 	Opciones de vale:		0x40810010
 	Tipo de cifrado de vale:	0x17
 	Dirección de cliente:		127.0.0.1

Inicios de sesión de cuenta

 Tipo de suceso:	Auditoría de aciertos
 Origen del suceso:	Seguridad
 Categoría del suceso:	Inicio de sesión/cierre de sesión
 Id. de suceso: 528
 Fecha:		08/14/2000
 Hora:		05:13:02
 Usuario:		<nombre de dominio de usuario>\<nombre de usuario>
 Equipo: <nombre de equipo>
 Descripción:
 Inicio de sesión realizado:
 	Nombre de usuario:	<nombre de usuario>
 	Dominio:		<nombre de dominio>
 	Id. de inicio de sesión:		(0x0,0x1CBC6A)
 	Tipo de inicio de sesión:	5
 	Proceso de inicio de sesión:	Advapi
 	Paquete de autenticación:	Negociación
 	Nombre de estación de trabajo:	<nombre de equipo>

Se inicia el proceso de servicio

 Tipo de suceso:	Auditoría de aciertos
 Origen del suceso:	Seguridad
 Categoría del suceso:	Seguimiento detallado
 Id. de suceso: 592
 Fecha:		08/14/2000
 Hora:		05:13:02
 Usuario:		NT AUTHORITY\SYSTEM
 Equipo: <nombre de equipo>
 Descripción:
 Se ha creado un proceso:
 	Id. de proceso:	2064
 	Nombre de archivo de imagen:	C:\WINDOWS\system32\llssrv.exe
 	Id. de proceso creador:	264
 	Nombre de usuario:	<nombre de equipo>$
 	Dominio:		<nombre de dominio>
 	Id. de inicio de sesión:		(0x0,0x3E7)

Cuenta que inició el servicio registrado

 Tipo de suceso:	Auditoría de aciertos
 Origen del suceso:	Seguridad
 Categoría del suceso:	Seguimiento detallado
 Id. de suceso: 600
 Fecha:		08/14/2000
 Hora:		05:13:02
 Usuario:		NT AUTHORITY\SYSTEM
 Equipo: <nombre de equipo>
 Descripción:
 Un proceso asignó un símbolo principal.
 	Id. de proceso:	2064
 	Nombre de archivo de imagen:	C:\WINDOWS\system32\llssrv.exe
 	Nombre de usuario:	<nombre de usuario>
 	Dominio:		<nombre de dominio>
 	Id. de inicio de sesión:		(0x0,0x1CBC6A)

Propiedades

Id. de artículo: 274176 - Última revisión: jueves, 05 de julio de 2001 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional Edition
Palabras clave: 
kbinfo kbtool KB274176

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com