Événement de sécurité pour l'association d'événements d'ouverture de session du compte de services

Traductions disponibles Traductions disponibles
Numéro d'article: 274176 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F274176
Agrandir tout | Réduire tout

Sommaire

Résumé

Dans Windows 2000 et les versions antérieures de Windows, il n'était pas possible d'associer un événement d'ouverture de session de compte (événement de sécurité ID 528) avec un événement de création de processus pour un grand nombre de processus tels que les services. Toutefois, un administrateur peut désormais utiliser l'événement de sécurité ID 600 (compris dans Windows XP) pour effectuer cette association. Cet article explique comment interpréter le journal d'événements de sécurité afin de pouvoir analyser ces événements.

Plus d'informations

Si vous contrôlez les événements d'ouverture de session de compte, les événements d'ouverture de session et le suivi des processus, les cinq événements suivants sont enregistrés lors du démarrage d'un service avec un compte d'utilisateur :
  • Demande de ticket Kerberos
    (672 Ouverture de session de compte)
  • Ticket Kerberos attribué
    (673 Ouverture de session de compte)
  • Le compte ouvre une session
    (528 Ouverture/Fermeture de session)
  • Démarrage du processus du service
    (592 Suivi en détail)
  • Enregistrement du compte qui a démarré le service
    (600 Suivi en détail)
Les exemples d'événements suivant se produisent lors du démarrage du service d'enregistrement de licences à l'aide d'un compte de domaine.

Demande de ticket Kerberos

Type d'événement :	Contrôle du succès
Source d'événement :	Sécurité
Catégorie d'événement :		Ouverture de session du compte
ID d'événements :         672
Date :				08/14/2000
Heure :				05:13:02
Utilisateur :			NT AUTHORITY\SYSTEM
Ordinateur :              <nom de l'ordinateur>
Description:
Demande du ticket d'authentification :
 	Nom d'utilisateur :			<nom d'utilisateur>
 	Nom du domaine fourni :			<nom du domaine>
 	ID de l'utilisateur :			<nom du domaine>\<nom d'utilisateur>
 	Nom du service :			<nom du service>
 	ID du service :				<nom du domaine>\<nom du service>
 	Options du ticket :						0x40810010
 	Code de résultat : 			-
 	Type de cryptage du ticket :		0x17
 	Type d'authentification préliminaire :	2
 	Adresse du client :						127.0.0.1

Ticket Kerberos attribué

Type d'événement :	Contrôle du succès
Source d'événement :	Sécurité
Catégorie d'événement :		Ouverture de session du compte
ID d'événements :        673
Date :				08/14/2000
Heure :				05:13:02
Utilisateur :			NT AUTHORITY\SYSTEM
Ordinateur :             <nom de l'ordinateur>
Description:
Ticket Kerberos attribué :
 	Nom d'utilisateur :			<nom d'utilisateur>
 	Domaine de l'utilisateur :		<nom du domaine de l'utilisateur>
 	Nom du service :			<nom de l'ordinateur>$
 	ID du service :				<nom du domaine de l'utilisateur>\<nom de l'ordinateur>$
 	Options du ticket :						0x40810010
 	Type de cryptage du ticket :		0x17
 	Adresse du client :						127.0.0.1

Le compte ouvre une session

Type d'événement :	Contrôle du succès
Source d'événement :	Sécurité
Catégorie d'événement :		Ouverture/Fermeture de session
ID d'événements :         528
Date :				08/14/2000
Heure :				05:13:02
Utilisateur :			<nom du domaine de l'utilisateur>\<nom d'utilisateur>
Ordinateur :              <nom de l'ordinateur>
Description:
Ouverture de session menée à bien :
 	Nom d'utilisateur :		<nom d'utilisateur>
 	Domaine :				<nom du domaine>
 	ID d'ouverture de session :		(0x0,0x1CBC6A)
 	Type d'ouverture de session :	5
 	Processus d'ouverture de session :	Advapi  
 	Package d'authentification :		Négocier
 	Nom de la station de travail :		<nom de l'ordinateur>

Démarrage du processus du service

Type d'événement :	Contrôle du succès
Source d'événement :	Sécurité
Catégorie d'événement :		Suivi en détail
ID d'événements :         592
Date :				08/14/2000
Heure :				05:13:02
Utilisateur :			NT AUTHORITY\SYSTEM
Ordinateur :              <nom de l'ordinateur>
Description:
Un nouveau processus a été créé :
 	ID du nouveau processus :			2064
 	Nom du fichier image :				C:\WINDOWS\system32\llssrv.exe
 	ID du processus créateur :			264
 	Nom d'utilisateur :		<nom de l'ordinateur>$
 	Domaine :					<nom du domaine>
 	ID d'ouverture de session :			(0x0,0x3E7)

Enregistrement du compte qui a démarré le service

Type d'événement :	Contrôle du succès
Source d'événement :	Sécurité
Catégorie d'événement :		Suivi en détail
ID d'événements :         600
Date :				08/14/2000
Heure :				05:13:02
Utilisateur :			NT AUTHORITY\SYSTEM
Ordinateur :              <nom de l'ordinateur>
Description:
Un jeton primaire a été attribué à un processus. 
 	ID du processus :		2064
 	Nom du fichier image :				C:\WINDOWS\system32\llssrv.exe
 	Nom d'utilisateur :		<nom d'utilisateur>
 	Domaine :					<nom du domaine>
 	ID d'ouverture de session :			(0x0,0x1CBC6A)

Propriétés

Numéro d'article: 274176 - Dernière mise à jour: mercredi 5 septembre 2001 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professionnel
Mots-clés : 
kbinfo kbtool KB274176
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com