Ereignisse suchen, finden und bewerten
Workshop - Log-Dateien auf Windows-Systemen auswerten
Übersicht wichtiger Ereignis-IDs
Die folgende Tabelle zeigt einige interessante und wichtige IDs, die von den neuen Windows-Systemen verwendet werden. Eine ausführliche Auflistung ist wiederum bei Microsoft zu finden.
Die meisten Events, die wir beispielhaft in dieser Tabelle aufgeführt haben, stehen im Zusammenhang mit Sicherheitsvorfällen auf dem System. Einige dieser Ereignisse können sich zwar als völlig belanglos erweisen, wenn sie aber sehr häufig und regelmäßig auf einem oder mehreren Ihrer Server auftauchen, kann es sinnvoll sein, diese genauer zu untersuchen.
ID |
Meldung |
Kategorie |
Unterkategorie |
4777 |
Ein Konto wurde für die Anmeldung zugeordnet |
Kontoanmeldung |
Überprüfung der Anmeldeinformation |
4771 |
Kerberos-Vorbestätigung ist fehlgeschlagen |
Kontoanmeldung |
Kerberos-Authentifizierungsdienst |
4772 |
Kerberos-Vorbestätigung ist fehlgeschlagen. |
Kontoanmeldung |
Kerberos-Authentifizierungsdienst |
4723 |
Es wurde versucht, ein Kontokennwort zu ändern. |
Kontoverwaltung |
User Account Management |
4738 |
Ein Benutzerkonto wurde geändert. |
Kontoverwaltung |
User Account Management |
4740 |
Ein Benutzerkonto wurde gesperrt. |
Kontoverwaltung |
User Account Management |
4780 |
Die ACL wurde für Konten festgelegt, die Mitglieder der Gruppenadministratoren sind. |
Kontoverwaltung |
User Account Management |
4649 |
Ein Replay-Angriff wurde festgestellt. |
Anmelden/Abmelden |
Andere An-/Abmelde-Ereignisse |
5378 |
Die angeforderte Anmeldeinformationen-Delegierung wurde durch die Richtlinie nicht zugelassen. |
Anmelden/Abmelden |
Andere An-/Abmelde-Ereignisse |
4621 |
Administratorsystem vom CrashOnAuditFail wiederhergestellt. Benutzer, die keine Administratoren sind, können sich nun anmelden. |
System |
Security-Status ändern |