Eventos de segurança para associar eventos de início de sessão de conta do serviço

Traduções de Artigos Traduções de Artigos
Artigo: 274176 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

No Windows 2000 e versões anteriores do Windows, não foi possível associar um evento de início de sessão de conta (evento 528 de ID de segurança) um evento de criação do processo para vários processos, tais como os serviços. No entanto, um administrador pode utilizar segurança evento ID 600 (incluído no Windows XP) para criar esta associação. Este artigo descreve como interpretar o registo de eventos de segurança, modo pode compreender estes eventos.

Mais Informação

Se estiver a auditar eventos de início de sessão de conta, eventos de início de sessão e rastreio de processos, os seguintes cinco eventos serão registados quando um serviço é iniciado com uma conta de utilizador:
  • Pedido de permissão Kerberos
    (Iniciar sessão conta 672)
  • Concedido permissão Kerberos
    (Iniciar sessão conta 673)
  • Registos de conta
    (528 Início de sessão/fim de sessão)
  • Inicia o processo de serviço
    (592 Controlo detalhado)
  • Conta de que iniciou o serviço registado
    (Controlo detalhado 600)
Ocorrem os seguintes eventos de exemplo em que o serviço registo de licenças é iniciado utilizando uma conta de domínio.

Pedido de permissão Kerberos

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         672
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Authentication Ticket Request:
   User Name:    <user name>
   Supplied Realm Name:  <realm name>
   User ID:                  <realm name>\<user name>
   Service Name:    <service name>
   Service ID:    <realm name>\<service name>
   Ticket Options:    0x40810010
   Result Code:    -
   Ticket Encryption Type:  0x17
   Pre-Authentication Type:  2
   Client Address:    127.0.0.1
				

Concedido permissão Kerberos

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         673
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Service Ticket Granted:
   User Name:    <user name>
   User Domain:    <user domain name>
   Service Name:    <computer name>$
   Service ID:    <user domain name>\<computer name>$
   Ticket Options:    0x40810010
   Ticket Encryption Type:  0x17
   Client Address:    127.0.0.1
				

Conta inicia sessão

Event Type:  Success Audit
Event Source:  Security
Event Category:  Logon/Logoff 
Event ID:         528
Date:    08/14/2000
Time:    05:13:02
User:    <user domain name>\<user name>
Computer:         <computer name>
Description:
Successful Logon:
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
   Logon Type:  5
   Logon Process:  Advapi  
   Authentication Package:  Negotiate
   Workstation Name:  <computer name>
				

Serviço de processo de início

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         592
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A new process has been created:
   New Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   Creator Process ID:  264
   User Name:  <computer name>$
   Domain:    <domain name>
   Logon ID:    (0x0,0x3E7)
				

Conta que iniciar o serviço registado

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         600
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A process was assigned a primary token. 
   Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
				

Propriedades

Artigo: 274176 - Última revisão: 4 de março de 2004 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbmt kbinfo KB274176 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 274176

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com