none
请教一下禁用网络适配器操作应该看系统里面哪条日志记录? RRS feed

  • 问题

  • 尊敬的微软工程师,

    请教一下禁用网络适配器操作应该看系统里面哪条日志记录?


    谷青松

    2019年2月1日 2:05

答案

  • 您好,

    事件4688记录了每个执行的程序,程序运行的程序以及启动此过程的过程。

    当您启动程序时,您正在创建一个“进程”,该进程在程序退出之前保持打开状态。此过程由进程ID标识:您可以通过进程ID将此事件与其他事件相关联,以确定程序在运行时和退出时执行的操作

    4689:一个进程已经退出。进程结束时的事件4689文档。 

    当您启动程序时,您正在创建一个“进程”,该进程在程序退出之前保持打开状态。此过程由进程ID标识:。

    您可以使用此事件通过将程序与具有相同进程ID 的早期4688相关联来告知程序运行了多长时间。

    参考文档:

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4689

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2019年4月17日 8:37
    2019年2月11日 6:52
    版主

全部回复

  • 您好,

    感谢您的发帖。

    根据我的研究和测试,禁用网络适配器的操作在系统里面没有日志记录。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年2月1日 7:24
    版主
  • 经过我的测试,审核日志全开会有日志产生

    禁用网络适配器:

    日志名称:          Security   
    来源:            Microsoft-Windows-Security-Auditing   
    日期:            2019/2/1 10:22:35   
    事件 ID:         4689   
    任务类别:          进程终止   
    级别:            信息   
    关键字:           审核成功   
    用户:            暂缺   
    计算机:           WIN-AHILF8UU6G4   
    描述:   
    已退出进程。   
       
    使用者:   
     安全 ID:  WIN-AHILF8UU6G4\Administrator
     帐户名:  Administrator
     帐户域:  WIN-AHILF8UU6G4
     登录 ID:  0x38A45
       
    进程信息:   
     进程 ID: 0xbac 
     进程名: C:\Windows\SysWOW64\dllhost.exe 
     退出状态: 0x0 
    事件 Xml:   
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">   
      <System>   
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />   
        <EventID>4689</EventID>   
        <Version>0</Version>   
        <Level>0</Level>   
        <Task>13313</Task>   
        <Opcode>0</Opcode>   
        <Keywords>0x8020000000000000</Keywords>   
        <TimeCreated SystemTime="2019-02-01T02:22:35.056500500Z" />   
        <EventRecordID>47284</EventRecordID>   
        <Correlation />   
        <Execution ProcessID="4" ThreadID="140" />   
        <Channel>Security</Channel>   
        <Computer>WIN-AHILF8UU6G4</Computer>   
        <Security />   
      </System>   
      <EventData>   
        <Data Name="SubjectUserSid">S-1-5-21-1910320206-4142077331-596173526-500</Data>   
        <Data Name="SubjectUserName">Administrator</Data>   
        <Data Name="SubjectDomainName">WIN-AHILF8UU6G4</Data>   
        <Data Name="SubjectLogonId">0x38a45</Data>   
        <Data Name="Status">0x0</Data>   
        <Data Name="ProcessId">0xbac</Data>   
        <Data Name="ProcessName">C:\Windows\SysWOW64\dllhost.exe</Data>   
      </EventData>   
    </Event>   

    启用网络适配器

    日志名称:          Security
    来源:              Microsoft-Windows-Security-Auditing
    日期:            2019/2/1 10:42:19
    事件 ID:         4688
    任务类别:          进程创建
    级别:            信息
    关键字:           审核成功
    用户:            暂缺
    计算机:           WIN-AHILF8UU6G4
    描述:
    已创建新进程。
    使用者:
    安全 ID:
    帐户名称:
    帐户域:
    登录 ID:
    进程信息:
    新进程 ID:
      新进程名称: C:\Windows\SysWOW64\dllhost.exe
    令牌提升类型: TokenElevationTypeDefault (1)
    创建者进程 ID: 0x21c
    进程命令行:
    “令牌提升类型”指示根据用户帐户控制策略分配给新进程的令牌类型。
    类型 1   是未删除特权或禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。
    类型 2   是未删除特权或禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。
    类型 3   是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。
    事件 Xml:
    <Event   xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider   Name="Microsoft-Windows-Security-Auditing"   Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4688</EventID>
        <Version>1</Version>
        <Level>0</Level>
        <Task>13312</Task>
        <Opcode>0</Opcode>
          <Keywords>0x8020000000000000</Keywords>
        <TimeCreated   SystemTime="2019-02-01T02:42:19.027225500Z" />
          <EventRecordID>48436</EventRecordID>
        <Correlation />
        <Execution ProcessID="4"   ThreadID="140" />
        <Channel>Security</Channel>
          <Computer>WIN-AHILF8UU6G4</Computer>
        <Security />
      </System>
      <EventData>
        <Data   Name="SubjectUserSid">S-1-5-18</Data>
        <Data   Name="SubjectUserName">WIN-AHILF8UU6G4$</Data>
        <Data   Name="SubjectDomainName">WORKGROUP</Data>
        <Data   Name="SubjectLogonId">0x3e7</Data>
        <Data   Name="NewProcessId">0x4d8</Data>
        <Data   Name="NewProcessName">C:\Windows\SysWOW64\dllhost.exe</Data>
        <Data   Name="TokenElevationType">%%1936</Data>
        <Data   Name="ProcessId">0x21c</Data>
        <Data Name="CommandLine">
        </Data>
      </EventData>
    </Event>

    以上是我测试结果。


    谷青松

    2019年2月2日 2:10
  • 您好,

    事件4688记录了每个执行的程序,程序运行的程序以及启动此过程的过程。

    当您启动程序时,您正在创建一个“进程”,该进程在程序退出之前保持打开状态。此过程由进程ID标识:您可以通过进程ID将此事件与其他事件相关联,以确定程序在运行时和退出时执行的操作

    4689:一个进程已经退出。进程结束时的事件4689文档。 

    当您启动程序时,您正在创建一个“进程”,该进程在程序退出之前保持打开状态。此过程由进程ID标识:。

    您可以使用此事件通过将程序与具有相同进程ID 的早期4688相关联来告知程序运行了多长时间。

    参考文档:

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4689

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2019年4月17日 8:37
    2019年2月11日 6:52
    版主