Ereignisse suchen, finden und bewerten

Workshop - Log-Dateien auf Windows-Systemen auswerten

Übersicht wichtiger Ereignis-IDs

Die folgende Tabelle zeigt einige interessante und wichtige IDs, die von den neuen Windows-Systemen verwendet werden. Eine ausführliche Auflistung ist wiederum bei Microsoft zu finden.

Die meisten Events, die wir beispielhaft in dieser Tabelle aufgeführt haben, stehen im Zusammenhang mit Sicherheitsvorfällen auf dem System. Einige dieser Ereignisse können sich zwar als völlig belanglos erweisen, wenn sie aber sehr häufig und regelmäßig auf einem oder mehreren Ihrer Server auftauchen, kann es sinnvoll sein, diese genauer zu untersuchen.

Wichtige Ereignis-IDs

ID

Meldung

Kategorie

Unterkategorie

4777

Ein Konto wurde für die Anmeldung zugeordnet

Kontoanmeldung

Überprüfung der Anmeldeinformation

4771

Kerberos-Vorbestätigung ist fehlgeschlagen

Kontoanmeldung

Kerberos-Authentifizierungsdienst

4772

Kerberos-Vorbestätigung ist fehlgeschlagen.

Kontoanmeldung

Kerberos-Authentifizierungsdienst

4723

Es wurde versucht, ein Kontokennwort zu ändern.

Kontoverwaltung

User Account Management

4738

Ein Benutzerkonto wurde geändert.

Kontoverwaltung

User Account Management

4740

Ein Benutzerkonto wurde gesperrt.

Kontoverwaltung

User Account Management

4780

Die ACL wurde für Konten festgelegt, die Mitglieder der Gruppenadministratoren sind.

Kontoverwaltung

User Account Management

4649

Ein Replay-Angriff wurde festgestellt.

Anmelden/Abmelden

Andere An-/Abmelde-Ereignisse

5378

Die angeforderte Anmeldeinformationen-Delegierung wurde durch die Richtlinie nicht zugelassen.

Anmelden/Abmelden

Andere An-/Abmelde-Ereignisse

4621

Administratorsystem vom CrashOnAuditFail wiederhergestellt. Benutzer, die keine Administratoren sind, können sich nun anmelden.

System

Security-Status ändern