V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nullo
V2EX  ›  程序员

域环境下的登录事件

  •  
  •   nullo · 249 天前 · 1079 次点击
    这是一个创建于 249 天前的主题,其中的信息可能已经有所发展或是发生改变。

    域环境下 windows 出现很多 4624 的日志,但是当账号并没有进行登录操作的时候,也会显示 4624 ,应该如何判断某个域账户是否执行登录操作呢

    3 条回复    2024-03-23 16:51:29 +08:00
    Tumblr
        1
    Tumblr  
       249 天前
    4624 只表明了 successfully log on ,你还要看 logon type ,有的是 SYSTEM 行为,有的是 WebAPI 等等,具体参考:
    https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624
    nullo
        2
    nullo  
    OP
       249 天前
    @Tumblr 我发现基本都是 network 的类型, "3 Network 从网络登录到此计算机的用户或计算机。"

    实际域用户登录应该是 “ 2 Interactive 用户登录到这台计算机 ” 类型吗 ??,测试了一下还是没有搞明白
    nullo
        3
    nullo  
    OP
       248 天前
    另外,由于企业内部还有共享,所有的 4624 的类型全部为 3 ,几乎全部是访问共享,为啥没有其他的类型 ID 呢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5448 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 07:34 · PVG 15:34 · LAX 23:34 · JFK 02:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.