分類

字段

說明

概述

“已成功登錄帳戶”

日志概述

主題

-

該字段指明本地系統上請求登錄的帳戶。這通常是一個服務（例如Server服務）或本地進程（例如 Winlogon.exe或Services.exe）。

-

安全 ID

SID，安全標識符用于唯一標識的安全主體或安全組。安全主體可以表示任何可以由操作系統，例如用戶帳戶、計算機帳戶，或線程或進程在用戶或計算機帳戶的安全上下文中運行的身份驗證的實體。比如：iZ23kpfre8lZ\admin

更多說明可以參見安全標識符技術概述。

-

帳戶名

安全域相關概念。通常情況下，是上述安全 ID的最末級相應字段（如果是用戶的話），比如相對應前面的SID，則對應賬戶名是admin。

注意：如果是用工作組環境，則相應值為[$Hostname]，比如iZ23kpfre8lZ$，[$Hostname]為計算機名稱。

-

帳戶域

安全域相關概念，相關資源歸屬安全域。如果是安全組，則是WORKGROUP；如果是域環境，則為相應域名。

-

登錄 ID

內部代碼。

登錄類型

-

指明發生的登錄種類。常見種類及其代碼說明：

2 - Interactive（交互式登錄）：

用戶在本地鍵盤上，通過操作系統控制臺（console）口進行的登錄。但通過KVM（傳統物理機房）或基于VNC的登錄（比如云服務器ECS的管理終端），雖然是基于網絡進行的登錄，但也屬于交互式登錄。

3 - Network（通過網絡訪問系統）：

用戶或計算機通過網絡進行的訪問。最常見場景是連接到服務器的共享文件夾、共享打印機等共享資源。通過網絡登錄IIS時也被記為這種類型，但基本驗證方式的IIS登錄是個例外，它將被記為類型8。

4 - Batch（作為批處理作業啟動）：

當Windows運行一個計劃任務時，“計劃任務服務”將為該任務先創建一個新的登錄會話，以便它能在此計劃任務所配置的用戶賬戶下運行。當這種登錄出現時，Windows在日志中記為類型4。對于其它類型的工作任務系統，依賴于它的設計，也可以在開始工作時產生類型4的登錄事件。所以，類型4登錄通常表明某計劃任務的啟動，但也可能是一個惡意用戶通過計劃任務來猜測用戶密碼，這種嘗試將產生一個類型4的登錄失敗事件，但是這種失敗登錄也可能是由于計劃任務的用戶密碼沒能同步更改造成的，比如用戶密碼更改了，而忘記了在計劃任務中進行更改。

5 - Service（由服務控制器啟動的Windows服務）：

與計劃任務類似，每種服務都被配置在某個特定的用戶賬戶下運行，當一個服務開始時，Windows首先為這個特定的用戶創建一個登錄會話，這將被記為類型5。所以，類型5登錄通常標明某服務的啟動。失敗的類型5通常表明用戶的密碼已變而這里沒得到更新，當然這也可能是由惡意用戶的密碼猜測引起的，但是這種可能性比較小，因為創建一個新的服務或編輯一個已存在的服務默認情況下都要求是管理員或serversoperators身份，而這種身份的惡意用戶，已經有足夠權限而無需費力猜測服務密碼了。

7 - Unlock（屏保解鎖）：

Windows屏保解鎖操作被記錄為一個類型7的登錄，失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。

8 - NetworkCleartext（網絡登錄時使用明文憑據）：

這種登錄表明這是一個像類型3一樣的網絡登錄，但是這種登錄的密碼在網絡上是通過明文傳輸的。Windows Server服務（LanmanServer）是不允許通過明文驗證連接到共享文件夾或打印機的。只有當從一個使用Advapi的ASP腳本登錄，或者一個用戶使用基本驗證方式登錄IIS時，才會被標記為這種登錄類型。

9 - NewCredentials（使用/netonly選項時由RunAs使用）：當你使用帶/Netonly參數的RUNAS命令運行一個程序時，RUNAS以本地當前登錄用戶運行它。但如果這個程序需要連接到網絡上的其它計算機時，這時就將以RUNAS命令中指定的用戶進行連接，同時Windows將把這種登錄記為類型9。如果RUNAS命令沒帶/Netonly參數，那么這個程序就將以指定的用戶運行，但日志中的登錄類型是2。

10 - RemoteInteractive（遠程交互）：

當你通過終端服務、遠程桌面或遠程協助訪問計算機時，Windows將登錄類型記為類型10，以便與真正的控制臺登錄相區別，注意Windows XP之前的版本不支持這種登錄類型，比如Windows2000仍然會把終端服務登錄記為類型2。

11 - CachedInteractive（緩存交互）：

Windows支持一種稱為緩存登錄的功能，這種功能對移動用戶尤其有利，比如你在自己網絡之外以域用戶登錄而無法登錄域控制器時就將使用這種功能。默認情況下，Windows緩存了最近10 次交互式域登錄的憑證HASH，如果以后當你以一個域用戶登錄而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份，并記錄登錄類型為類型11。

新登錄

-

該字段會指明新登錄是為哪個帳戶創建的，即登錄的帳戶。

-

安全 ID

如前文所述。

-

帳戶名

執行登錄的用戶帳戶。例如，這可能是NT AUTHORITY\SYSTEM，這是用于啟動許多Windows 服務的LocalSystem帳戶。

賬戶域

執行登錄的用戶歸屬域。如果是工作組環境，則顯示為相應的計算機名稱。如果是域環境，則顯示為相應的域信息。

網絡

-

字段指明遠程登錄請求來自哪里。“工作站名”并非總是可用，而且在某些情況下可能會留為空白。

-

工作站名

登錄來源主機名稱。通過遠程交互式登錄時顯示為客戶端主機名，其它登錄類型通常為本地計算機的計算機名。

-

源網絡地址

通過遠程交互式登錄時的客戶端IP地址。

-

源端口

通過遠程交互式登錄時客戶端使用的端口。

進程信息

-

登錄操作調用的進程信息。

詳細身份驗證信息

-

提供關于此特定登錄請求的詳細信息。指試圖登錄帳戶時調用的安全數據包。身份驗證數據包是分析登錄數據并決定是否對帳戶進行身份驗證的動態鏈接庫（DLL）。最常用的有Kerberos、Negotiate、NTLM和MICROSOFT_AUTHENTICATION_PACKAGE_V1_0（也稱MSV1_0；可對SAM數據庫中的用戶進行身份驗證，支持對受信任域中帳戶進行pass-through身份驗證，支持子身份驗證數據