Windows 事件ID + 登录类型 + 服务对应表大全
一、登录与账户活动类(Security 日志)
事件ID | 事件名称 | 含义说明 | 对应服务/行为 | 登录类型(如有) |
---|---|---|---|---|
4624 | 登录成功 (An account was successfully logged on) | 成功登录事件 | 所有登录行为(本地、网络、RDP、服务等) | 2、3、4、5、7、10、11 |
4625 | 登录失败 (An account failed to log on) | 登录失败事件 | 爆破、密码错误、远程连接失败 | 同上 |
4634 | 注销 (An account was logged off) | 用户正常注销 | 用户退出会话、关机 | |
4647 | 用户主动注销 (User initiated logoff) | 用户手动点击“注销” | 本地会话退出 | |
4672 | 分配特权给新登录 (Special privileges assigned to new logon) | 用户登录时被授予管理员权限 | 管理员登录、SYSTEM 登录 | |
4776 | NTLM 认证 | NTLM 身份验证请求 | SMB、RDP、远程连接时 | |
4768 | Kerberos TGT 请求 | 域控认证 | 域用户登录时(域环境) | |
4769 | Kerberos 服务票据请求 | 请求服务访问凭证 | 域环境中访问资源 | |
4771 | Kerberos 认证失败 | 认证失败日志 | 密码错误、账户锁定 | |
4720 | 创建账户 (A user account was created) | 新建用户 | net user 、控制面板 |
|
4722 | 启用账户 | 被启用的用户账号 | 管理员操作 | |
4725 | 禁用账户 | 账户被停用 | 管理员安全操作 | |
4726 | 删除账户 | 用户被删除 | 管理员删除账户 | |
4732 | 用户被添加进本地组 | 权限提升迹象 | 加入“Administrators”等 | |
4740 | 账户被锁定 | 连续失败登录导致锁定 | 爆破或输入错误密码 | |
4767 | 账户被解锁 | 管理员或系统解锁 | 手动恢复 |
二、登录类型对应服务/场景详细表
登录类型 | 登录方式 | 典型服务/进程 | 说明 |
---|---|---|---|
2 | 交互式 (Interactive) | winlogon.exe 、userinit.exe |
本地键盘/显示器登录 |
3 | 网络 (Network) | srvsvc.dll 、lanmanserver |
文件共享、SMB、远程访问共享资源 |
4 | 批处理 (Batch) | taskeng.exe 、schtasks.exe |
计划任务执行脚本或命令 |
5 | 服务 (Service) | services.exe |
Windows 服务自动登录启动时 |
7 | 解锁 (Unlock) | winlogon.exe |
屏幕解锁,非真正登录 |
8 | 明文凭证网络登录 (NetworkCleartext) | w3wp.exe 、iis |
某些 Web 服务或旧协议传输明文 |
9 | 新凭证 (NewCredentials) | runas.exe |
使用 runas /netonly 或委派凭证登录 |
10 | 远程交互 (RemoteInteractive) | mstsc.exe 、termservice |
RDP 远程桌面、远程控制登录 |
11 | 缓存交互 (CachedInteractive) | winlogon.exe |
域账户离线登录(缓存凭证) |
12 | 远程新凭证登录 | mstsc.exe |
凭证代理或远程代理场景 |
13 | 缓存远程交互登录 | mstsc.exe |
缓存凭证远程登录(极少见) |
三、系统与服务操作类(System 日志)
事件ID | 来源 | 含义 | 常见触发 |
---|---|---|---|
6005 | EventLog | 事件日志服务已启动 | 系统启动 |
6006 | EventLog | 事件日志服务已停止 | 系统关机 |
6008 | EventLog | 上次系统异常关机 | 异常断电、崩溃 |
7040 | Service Control Manager | 服务启动类型被修改 | 启动方式更改 |
7045 | Service Control Manager | 新服务被安装 | 恶意持久化常见指标 |
7036 | Service Control Manager | 服务状态变更 | 启动/停止服务 |
7000 | Service Control Manager | 服务启动失败 | 服务损坏或被阻止 |
四、计划任务与命令执行类
事件ID | 来源 | 含义 | 对应服务 |
---|---|---|---|
4698 | Microsoft-Windows-TaskScheduler | 创建了新的计划任务 | taskeng.exe |
4699 | TaskScheduler | 删除任务 | - |
4700 | TaskScheduler | 启用任务 | - |
4701 | TaskScheduler | 禁用任务 | - |
4688 | Detailed Tracking | 新进程被创建 | 任意命令执行行为(非常关键) |
4689 | Detailed Tracking | 进程终止 | 命令执行完毕 |
五、网络连接与远程操作类
事件ID | 来源 | 含义 | 对应进程/协议 |
---|---|---|---|
5156 | Windows Filtering Platform | 允许建立网络连接 | TCP/UDP 会话创建 |
5158 | Filtering Platform | 建立 UDP 会话 | DNS/ICMP等 |
5140 | Security | 网络共享被访问 | SMB/共享文件访问 |
5142 | Security | 共享被创建 | 攻击者共享持久化 |
5143 | Security | 共享被修改 | - |
5144 | Security | 共享被删除 | - |
六、远程桌面 & 登录追踪
事件ID | 来源 | 含义 | 说明 |
---|---|---|---|
4624 (Logon Type 10) | Security | 远程桌面登录成功 | RDP成功连接 |
4625 (Logon Type 10) | Security | 远程桌面登录失败 | 密码错误/爆破 |
4778 | Microsoft-Windows-TerminalServices-LocalSessionManager | 会话重新连接 | RDP 断开后恢复 |
4779 | TerminalServices | 会话断开 | RDP 退出 |
1149 | TerminalServices-RemoteConnectionManager | 远程桌面连接尝试 | 连接阶段(即便失败也记录) |
七、执行命令与脚本追踪(可疑行为)
事件ID | 来源 | 含义 | 分析重点 |
---|---|---|---|
4688 | Security | 新进程创建 | 检查命令行参数(cmd、powershell) |
4104 | PowerShell | 执行了脚本块 | PowerShell 攻击痕迹 |
4103 | PowerShell | 模块加载事件 | 恶意模块注入 |
800 | PowerShell (旧版本) | 执行命令 | 旧版 PS 日志 |
八、安全分析思路
日志类型 | 关键ID | 风险判断 |
---|---|---|
登录爆破 | 4625 多次失败登录 | 检查来源 IP |
远程登录 | 4624 + Logon Type 10 | 攻击者使用 RDP |
权限提升 | 4672 | SYSTEM 或管理员登录 |
服务持久化 | 7045 | 恶意注册服务 |
后门命令执行 | 4688 + PowerShell 4104 | 命令/脚本痕迹 |
横向移动 | 4624 + Logon Type 3 | SMB、WMI、IPC$ |
最后总结一句话
分类 | 关键事件ID | 登录类型 | 服务/行为 |
---|---|---|---|
本地登录 | 4624 | 2 | winlogon.exe |
远程桌面 | 4624 | 10 | mstsc.exe |
网络共享 | 4624 | 3 | srvsvc.dll |
计划任务 | 4698 / 4624 | 4 | taskeng.exe |
服务启动 | 7045 / 4624 | 5 | services.exe |
PowerShell执行 | 4688 / 4104 | - | powershell.exe |
登录失败 | 4625 | 任意 | 爆破检测重点 |