windows 服务器出现登录成功的日志,每隔10分钟就有一次,是不是被黑了
日志一
试图使用显式凭据登录。
主题:
安全 ID: SYSTEM
帐户名: *
帐户域: *
登录 ID: 0x3e7
登录 GUID: {00000000-0000-0000-0000-000000000000}
使用了哪个帐户的凭据:
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 GUID: {00000000-0000-0000-0000-000000000000}
目标服务器:
目标服务器名: localhost
附加信息: localhost
进程信息:
进程 ID: 0x2ec
进程名: C:\Windows\System32\services.exe
网络信息:
网络地址: -
端口: -
在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。
日志二
已成功登录帐户。
主题:
安全 ID: SYSTEM
帐户名: *
帐户域: *
登录 ID: 0x3e7
登录类型: 5
新登录:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3e7
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0x2ec
进程名: C:\Windows\System32\services.exe
网络信息:
工作站名:
源网络地址: -
源端口: -
详细身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
在创建登录会话后在被访问的计算机上生成此事件。
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。
“新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。
“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
-“传递服务”指明哪些直接服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。
日志三
为新登录分配了特殊权限。
主题:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3e7
特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege