Remove From My Forums

请教一下禁用网络适配器操作应该看系统里面哪条日志记录？

问题
0

登录进行投票

尊敬的微软工程师，

请教一下禁用网络适配器操作应该看系统里面哪条日志记录？

谷青松

2019年2月1日 2:05

回复

|

引用

答案

0

登录进行投票
您好，

事件4688记录了每个执行的程序，程序运行的程序以及启动此过程的过程。

当您启动程序时，您正在创建一个“进程”，该进程在程序退出之前保持打开状态。此过程由进程ID标识：您可以通过进程ID将此事件与其他事件相关联，以确定程序在运行时和退出时执行的操作

4689：一个进程已经退出。进程结束时的事件4689文档。

当您启动程序时，您正在创建一个“进程”，该进程在程序退出之前保持打开状态。此过程由进程ID标识：。

您可以使用此事件通过将程序与具有相同进程ID 的早期4688相关联来告知程序运行了多长时间。

参考文档：

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4689

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案谷青松 2019年4月17日 8:37
2019年2月11日 6:52

回复

|

引用

版主

全部回复

0

登录进行投票

您好，

感谢您的发帖。

根据我的研究和测试，禁用网络适配器的操作在系统里面没有日志记录。

感谢您的理解和支持。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2019年2月1日 7:24

回复

|

引用

版主

登录进行投票

经过我的测试，审核日志全开会有日志产生

禁用网络适配器：

日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2019/2/1 10:22:35
事件 ID:         4689
任务类别:          进程终止
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           WIN-AHILF8UU6G4
描述:
已退出进程。

使用者:
安全 ID:  WIN-AHILF8UU6G4\Administrator
帐户名:  Administrator
帐户域:  WIN-AHILF8UU6G4
登录 ID:  0x38A45

进程信息:
进程 ID: 0xbac
进程名: C:\Windows\SysWOW64\dllhost.exe
退出状态: 0x0
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4689</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>13313</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2019-02-01T02:22:35.056500500Z" />
    <EventRecordID>47284</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="140" />
    <Channel>Security</Channel>
    <Computer>WIN-AHILF8UU6G4</Computer>
    <Security />
</System>
<EventData>
    <Data Name="SubjectUserSid">S-1-5-21-1910320206-4142077331-596173526-500</Data>
    <Data Name="SubjectUserName">Administrator</Data>
    <Data Name="SubjectDomainName">WIN-AHILF8UU6G4</Data>
    <Data Name="SubjectLogonId">0x38a45</Data>
    <Data Name="Status">0x0</Data>
    <Data Name="ProcessId">0xbac</Data>
    <Data Name="ProcessName">C:\Windows\SysWOW64\dllhost.exe</Data>
</EventData>
</Event>

启用网络适配器

日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2019/2/1 10:42:19
事件 ID: 4688
任务类别: 进程创建
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: WIN-AHILF8UU6G4
描述:
已创建新进程。
使用者:
安全 ID:
帐户名称:
帐户域:
登录 ID:
进程信息:
新进程 ID:
	新进程名称:	C:\Windows\SysWOW64\dllhost.exe
令牌提升类型:	TokenElevationTypeDefault (1)
创建者进程 ID:	0x21c
进程命令行:
“令牌提升类型”指示根据用户帐户控制策略分配给新进程的令牌类型。
类型 1 是未删除特权或禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。
类型 2 是未删除特权或禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时，也会使用提升令牌。
类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制，应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时，会使用受限令牌。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4688</EventID>
<Version>1</Version>
<Level>0</Level>
<Task>13312</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2019-02-01T02:42:19.027225500Z" />
<EventRecordID>48436</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="140" />
<Channel>Security</Channel>
<Computer>WIN-AHILF8UU6G4</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">WIN-AHILF8UU6G4$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="NewProcessId">0x4d8</Data>
<Data Name="NewProcessName">C:\Windows\SysWOW64\dllhost.exe</Data>
<Data Name="TokenElevationType">%%1936</Data>
<Data Name="ProcessId">0x21c</Data>
<Data Name="CommandLine">
</Data>
</EventData>
</Event>

以上是我测试结果。

谷青松

2019年2月2日 2:10

0

登录进行投票
您好，

事件4688记录了每个执行的程序，程序运行的程序以及启动此过程的过程。

当您启动程序时，您正在创建一个“进程”，该进程在程序退出之前保持打开状态。此过程由进程ID标识：您可以通过进程ID将此事件与其他事件相关联，以确定程序在运行时和退出时执行的操作

4689：一个进程已经退出。进程结束时的事件4689文档。

当您启动程序时，您正在创建一个“进程”，该进程在程序退出之前保持打开状态。此过程由进程ID标识：。

您可以使用此事件通过将程序与具有相同进程ID 的早期4688相关联来告知程序运行了多长时间。

参考文档：

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4689

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案谷青松 2019年4月17日 8:37
2019年2月11日 6:52

回复

|

引用

版主

积极答复者

请教一下禁用网络适配器操作应该看系统里面哪条日志记录？

问题

答案

全部回复