Windows7:是否有帐户或 IP 地址日志显示通过 LAN 连接使用 \\computername\C$ 格式与我的计算机的 c:\ 建立的连接?
答案1
是否有显示与我的计算机建立的连接的帐户日志?
一个事件 ”4624:帐户已成功登录“被添加到系统事件日志中。
这登录类型将3- 网络(即从网络上的其他地方连接到此计算机上的共享文件夹)。
这源网络地址在大多数情况下是用户实际所在计算机的 IP 地址。
4624:帐户已成功登录
标识请求登录的帐户 - 而不是刚刚登录的用户。主题通常为 Null 或服务主体之一,通常不是有用的信息。请参阅新登录(在此答案后面)对于刚刚登录系统的人。
- 安全 ID
- 帐户名称
- 帐户域
- 登录ID
登录信息:
- 登录类型:见下文
其余登录信息字段是 Windows 10/2016 的新增内容
- 受限管理模式:对于客户端指定 /restrictedAdmin 的传入远程桌面连接,通常为“-”。“是”
- 虚拟帐户:通常为“否”。如果服务配置为使用“虚拟帐户”登录,则为“是”。
- 提升令牌:这与用户帐户控制有关,但我们迄今为止的研究尚未得出一致的结果。
登录类型:
这是一条很有价值的信息,因为它可以告诉您用户刚刚如何登录的:
新登录:
刚刚登录的用户通过帐户名和帐户域进行识别。您可以通过将帐户域与计算机名进行比较来确定帐户是本地帐户还是域帐户。如果它们匹配,则该帐户是该系统上的本地帐户,否则是域帐户。
- 安全 ID:帐户的 SID
- 账户名:账户的登录名
- 账户域:账户的域名(Win2k 之前的域名)
- 登录 ID:一个半唯一(每次重启之间唯一)的数字,用于标识刚刚启动的登录会话。在此登录会话期间随后记录的任何事件都将报告相同的登录 ID,直至注销事件 4647 或 4634。
- 登录 GUID:据推测,您应该能够使用此 GUID 将此计算机上的登录事件与域控制器上的相应身份验证事件关联起来。例如,将成员计算机上的 4624 链接到 DC 上的 4769。但成员计算机上的登录事件和域控制器上的身份验证事件之间的 GUID 不匹配。
处理信息:
- 进程 ID 是可执行文件启动时指定的进程 ID,记录于 4688。
- 进程名称:标识处理登录的可执行程序。这是 4611 标识的受信任登录进程之一。
网络信息:
此部分标识用户登录时所在的位置。当然,如果登录是从同一台计算机发起的,则此信息将为空白或反映相同的本地计算机。
- 工作站名称:在大多数情况下,用户实际所在的计算机的计算机名称,除非此登录是由代表用户行事的服务器应用程序发起的。对于某些 Kerberos 登录,工作站可能也不会填写,因为 Kerberos 协议在用户登录的情况下并不真正关心计算机帐户,因此在票证请求消息中缺少任何用于携带工作站名称的字段。
- 源网络地址:在大多数情况下,用户实际所在的计算机的 IP 地址,除非此登录是由代表用户的服务器应用程序发起的。如果此登录是在本地发起的,则 IP 地址有时会为 127.0.0.1,而不是本地计算机的实际 IP 地址。此字段有时也是空白的,因为 Microsoft 表示“Windows Server 2003 中的每条代码路径都未针对 IP 地址进行检测,因此并不总是会填写。”
- 源端口:标识登录请求的源 TCP 端口,这似乎没用,因为大多数协议的源端口都是随机的。
