События безопасности для связывания события входа учетной записи службы

Переводы статьи Переводы статьи
Код статьи: 274176 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В Windows 2000 и более ранних версиях Windows не удалось сопоставить событие входа в систему учетную запись (безопасности события ID 528) события создания процессов для многих процессов, таких как службы. Однако администратор может использовать событие ID 600 (входит в состав Windows XP) для данного сопоставления. В данной статье описывается, как интерпретировать журнал событий безопасности, чтобы понять эти события.

Дополнительная информация

Если производится аудит событий входа в систему событий входа в систему и отслеживания процессов, следующие пять событий при запуске службы с учетной записью:
  • Запрос билета Kerberos
    (672 Входа для учетной записи)
  • Предоставленные билета Kerberos
    (673 Входа для учетной записи)
  • Учетная запись входит в систему
    (528 Вход/выход)
  • Начнется процесс обновления
    (592 Подробное отслеживание)
  • Учетная запись, которая запущена служба регистрации
    (600 Подробное отслеживание)
Происходят следующие события пример, где запущена служба учета лицензий с помощью учетной записи домена.

Запрос билета Kerberos

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         672
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Authentication Ticket Request:
   User Name:    <user name>
   Supplied Realm Name:  <realm name>
   User ID:                  <realm name>\<user name>
   Service Name:    <service name>
   Service ID:    <realm name>\<service name>
   Ticket Options:    0x40810010
   Result Code:    -
   Ticket Encryption Type:  0x17
   Pre-Authentication Type:  2
   Client Address:    127.0.0.1
				

Предоставленные билета Kerberos

Event Type:  Success Audit
Event Source:  Security
Event Category:  Account Logon 
Event ID:         673
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
Service Ticket Granted:
   User Name:    <user name>
   User Domain:    <user domain name>
   Service Name:    <computer name>$
   Service ID:    <user domain name>\<computer name>$
   Ticket Options:    0x40810010
   Ticket Encryption Type:  0x17
   Client Address:    127.0.0.1
				

Учетная запись входит в систему

Event Type:  Success Audit
Event Source:  Security
Event Category:  Logon/Logoff 
Event ID:         528
Date:    08/14/2000
Time:    05:13:02
User:    <user domain name>\<user name>
Computer:         <computer name>
Description:
Successful Logon:
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
   Logon Type:  5
   Logon Process:  Advapi  
   Authentication Package:  Negotiate
   Workstation Name:  <computer name>
				

Процесс запуска службы

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         592
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A new process has been created:
   New Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   Creator Process ID:  264
   User Name:  <computer name>$
   Domain:    <domain name>
   Logon ID:    (0x0,0x3E7)
				

Учетная запись, которая запущена служба регистрации

Event Type:  Success Audit
Event Source:  Security
Event Category:  Detailed Tracking 
Event ID:         600
Date:    08/14/2000
Time:    05:13:02
User:    NT AUTHORITY\SYSTEM
Computer:         <computer name>
Description:
A process was assigned a primary token. 
   Process ID:  2064
   Image File Name:  C:\WINDOWS\system32\llssrv.exe
   User Name:  <user name>
   Domain:    <domain name>
   Logon ID:    (0x0,0x1CBC6A)
				

Свойства

Код статьи: 274176 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
Ключевые слова: 
kbinfo kbmt KB274176 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:274176

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com