Evento de segurança para associar a eventos de logon de conta de serviço

Traduções deste artigo Traduções deste artigo
ID do artigo: 274176 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

No Windows 2000 e versões anteriores do Windows, não foi possível associar um evento de logon de conta (evento de segurança identificação 528) com um evento de criação de processo para vários processos, como serviços. No entanto, um administrador pode usar segurança evento ID 600 (incluído no Windows XP) para fazer essa associação. Este artigo descreve como interpretar o log de eventos de segurança para que você pode compreender esses eventos.

Mais Informações

Se você estiver fazendo auditoria de eventos de logon de conta, eventos de logon e controle de processos, os eventos de cinco seguintes são registrados quando um serviço é iniciado com uma conta de usuário:
  • Solicitação de permissão Kerberos
    (Logon de conta 672)
  • Concedida a permissão Kerberos
    (Logon de conta 673)
  • Conta de logs
    (Logon/logoff 528)
  • Inicia o processo de serviço
    (Controle 592 detalhadas)
  • Conta iniciou serviço conectado
    (Controle detalhadas 600)
Os eventos de exemplo a seguir ocorrem onde o serviço de registro de licença é iniciado usando uma conta de domínio.

Solicitação de permissão Kerberos

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         672
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Authentication Ticket Request:
   User Name:    <user name>
   Supplied Realm Name:  <realm name>
   User ID:                  <realm name>\<user name>
   Service Name:    <service name>
   Service ID:    <realm name>\<service name>
   Ticket Options:    0x40810010
   Result Code:    -
   Ticket Encryption Type:  0x17
   Pre-Authentication Type:  2
   Client Address:    127.0.0.1
				

Concedida a permissão Kerberos

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         673
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Service Ticket Granted:
   User Name:    <user name>
   User Domain:    <user domain name>
   Service Name:    <computer name>$
   Service ID:    <user domain name>\<computer name>$
   Ticket Options:    0x40810010
   Ticket Encryption Type:  0x17
   Client Address:    127.0.0.1
				

Conta faz logon

Event Type:  Success Audit
Event Source:  Security
Event Category:  Logon/Logoff 
Event ID:         528
Date:    08/14/2000
Time:    05:13:02
User:    <user domain name>\<user name>
Computer:         <computer name>
Description:
Successful Logon:
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
   Logon Type:  5
   Logon Process:  Advapi  
   Authentication Package:  Negotiate
   Workstation Name:  <computer name>
				

Serviço processo de inicialização

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         592
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A new process has been created:
   New Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   Creator Process ID:  264
   User Name:  <computer name>$
   Domain:    <domain name>
   Logon ID:    (0x0,0x3E7)
				

Conta que iniciado serviço registrado

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         600
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A process was assigned a primary token. 
   Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
				

Propriedades

ID do artigo: 274176 - Última revisão: quinta-feira, 4 de março de 2004 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional
Palavras-chave: 
kbmt kbinfo KB274176 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 274176

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com