域环境下 windows 出现很多 4624 的日志,但是当账号并没有进行登录操作的时候,也会显示 4624 ,应该如何判断某个域账户是否执行登录操作呢
1
Tumblr 249 天前
4624 只表明了 successfully log on ,你还要看 logon type ,有的是 SYSTEM 行为,有的是 WebAPI 等等,具体参考:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624 |
2
nullo OP @Tumblr 我发现基本都是 network 的类型, "3 Network 从网络登录到此计算机的用户或计算机。"
实际域用户登录应该是 “ 2 Interactive 用户登录到这台计算机 ” 类型吗 ??,测试了一下还是没有搞明白 |
3
nullo OP 另外,由于企业内部还有共享,所有的 4624 的类型全部为 3 ,几乎全部是访问共享,为啥没有其他的类型 ID 呢
|