현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

서비스 계정 로그온 이벤트를 연결하는 보안 이벤트

Windows XP에 대한 지원이 종료되었습니다.

Microsoft는 2014년 4월 8일 Windows XP에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

요약
Windows 2000과 이전 버전의 Windows에서는 계정 로그온 이벤트(보안 이벤트 ID 528)를 서비스 등의 많은 프로세스를 위한 프로세스 생성 이벤트와 연결하는 것이 불가능했습니다. 그러나 관리자는 Windows XP에 포함된 보안 이벤트 ID 600을 사용하여 이러한 연결을 만들 수 있습니다. 본 문서에서는 이러한 이벤트를 이해할 수 있도록 보안 이벤트 로그를 해석하는 방법에 대해 설명합니다.
추가 정보
계정 로그온 이벤트, 로그온 이벤트 및 프로세스 추적을 감사 중인 경우 사용자 계정으로 서비스를 시작하면 아래와 같은 5가지 이벤트가 기록됩니다.
  • Kerberos Ticket Request
    (672 계정 로그온)
  • Kerberos Ticket Granted
    (673 계정 로그온)
  • Account Logs On
    (528 로그온/로그오프)
  • Service Process starts
    (592 세부 추적)
  • Account that started service logged
    (600 세부 추적)
도메인 계정을 사용하여 라이센스 로깅 서비스를 시작하는 경우 다음 예제 이벤트가 발생합니다.

Kerberos Ticket Request

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Account Logon Event ID:         672Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:Authentication Ticket Request:   User Name:    <user name>   Supplied Realm Name:  <realm name>   User ID:                  <realm name>\<user name>   Service Name:    <service name>   Service ID:    <realm name>\<service name>   Ticket Options:    0x40810010   Result Code:    -   Ticket Encryption Type:  0x17   Pre-Authentication Type:  2   Client Address:    127.0.0.1				

Kerberos Ticket Granted

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Account Logon Event ID:         673Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:Service Ticket Granted:   User Name:    <user name>   User Domain:    <user domain name>   Service Name:    <computer name>$   Service ID:    <user domain name>\<computer name>$   Ticket Options:    0x40810010   Ticket Encryption Type:  0x17   Client Address:    127.0.0.1				

Account Logs On

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Logon/Logoff Event ID:         528Date:    08/14/2000Time:    05:13:02User:    <user domain name>\<user name>Computer:         <computer name>Description:Successful Logon:   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)   Logon Type:  5   Logon Process:  Advapi     Authentication Package:  Negotiate   Workstation Name:  <computer name>				

Service Process Starts

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Detailed Tracking Event ID:         592Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:A new process has been created:   New Process ID:  2064   Image File Name:  C:\WINDOWS\system32\llssrv.exe   Creator Process ID:  264   User Name:  <computer name>$   Domain:    <domain name>   Logon ID:    (0x0,0x3E7)				

Account That Started Service Logged

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Detailed Tracking Event ID:         600Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:A process was assigned a primary token.    Process ID:  2064   Image File Name:  C:\WINDOWS\system32\llssrv.exe   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)				




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
속성

문서 ID: 274176 - 마지막 검토: 06/15/2004 09:34:00 - 수정: 1.1

  • Microsoft Windows XP Professional
  • kbinfo KB274176
피드백