서비스 계정 로그온 이벤트를 연결하는 보안 이벤트

기술 자료 번역 기술 자료 번역
기술 자료: 274176 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

Windows 2000과 이전 버전의 Windows에서는 계정 로그온 이벤트(보안 이벤트 ID 528)를 서비스 등의 많은 프로세스를 위한 프로세스 생성 이벤트와 연결하는 것이 불가능했습니다. 그러나 관리자는 Windows XP에 포함된 보안 이벤트 ID 600을 사용하여 이러한 연결을 만들 수 있습니다. 본 문서에서는 이러한 이벤트를 이해할 수 있도록 보안 이벤트 로그를 해석하는 방법에 대해 설명합니다.

추가 정보

계정 로그온 이벤트, 로그온 이벤트 및 프로세스 추적을 감사 중인 경우 사용자 계정으로 서비스를 시작하면 아래와 같은 5가지 이벤트가 기록됩니다.
  • Kerberos Ticket Request
    (672 계정 로그온)
  • Kerberos Ticket Granted
    (673 계정 로그온)
  • Account Logs On
    (528 로그온/로그오프)
  • Service Process starts
    (592 세부 추적)
  • Account that started service logged
    (600 세부 추적)
도메인 계정을 사용하여 라이센스 로깅 서비스를 시작하는 경우 다음 예제 이벤트가 발생합니다.

Kerberos Ticket Request

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         672
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Authentication Ticket Request:
   User Name:    <user name>
   Supplied Realm Name:  <realm name>
   User ID:                  <realm name>\<user name>
   Service Name:    <service name>
   Service ID:    <realm name>\<service name>
   Ticket Options:    0x40810010
   Result Code:    -
   Ticket Encryption Type:  0x17
   Pre-Authentication Type:  2
   Client Address:    127.0.0.1
				

Kerberos Ticket Granted

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         673
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Service Ticket Granted:
   User Name:    <user name>
   User Domain:    <user domain name>
   Service Name:    <computer name>$
   Service ID:    <user domain name>\<computer name>$
   Ticket Options:    0x40810010
   Ticket Encryption Type:  0x17
   Client Address:    127.0.0.1
				

Account Logs On

Event Type:  Success Audit
Event Source:  Security
Event Category:  Logon/Logoff 
Event ID:         528
Date:    08/14/2000
Time:    05:13:02
User:    <user domain name>\<user name>
Computer:         <computer name>
Description:
Successful Logon:
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
   Logon Type:  5
   Logon Process:  Advapi  
   Authentication Package:  Negotiate
   Workstation Name:  <computer name>
				

Service Process Starts

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         592
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A new process has been created:
   New Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   Creator Process ID:  264
   User Name:  <computer name>$
   Domain:    <domain name>
   Logon ID:    (0x0,0x3E7)
				

Account That Started Service Logged

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         600
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A process was assigned a primary token. 
   Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
				




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 274176 - 마지막 검토: 2004년 6월 15일 화요일 - 수정: 1.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Professional
키워드:?
kbinfo KB274176

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com