分类

字段

说明

概述

“已成功登录帐户”

日志概述

主题

-

该字段指明本地系统上请求登录的帐户。这通常是一个服务（例如Server服务）或本地进程（例如 Winlogon.exe或Services.exe）。

-

安全 ID

SID，安全标识符用于唯一标识的安全主体或安全组。安全主体可以表示任何可以由操作系统，例如用户帐户、计算机帐户，或线程或进程在用户或计算机帐户的安全上下文中运行的身份验证的实体。比如：iZ23kpfre8lZ\admin

更多说明可以参见：安全标识符技术概述

-

帐户名

安全域相关概念。通常情况下，是上述安全 ID的最末级相应字段（如果是用户的话），比如相对应前面的SID，则对应账户名是admin。

注意：如果是用工作组环境，则相应值为[$Hostname]，比如iZ23kpfre8lZ$，[$Hostname]为计算机名称。

-

帐户域

安全域相关概念，相关资源归属安全域。如果是安全组，则是WORKGROUP；如果是域环境，则为相应域名。

-

登录 ID

内部代码。

登录类型

-

指明发生的登录种类。常见种类及其代码说明：

2 - Interactive（交互式登录）：

用户在本地键盘上，通过操作系统控制台（console）口进行的登录。但通过KVM（传统物理机房）或基于VNC的登录（比如云服务器ECS的管理终端），虽然是基于网络进行的登录，但也属于交互式登录。

3 - Network（通过网络访问系统）：

用户或计算机通过网络进行的访问。最常见场景是连接到服务器的共享文件夹、共享打印机等共享资源。通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8。

4 - Batch（作为批处理作业启动）：

当Windows运行一个计划任务时，“计划任务服务”将为该任务先创建一个新的登录会话，以便它能在此计划任务所配置的用户账户下运行。当这种登录出现时，Windows在日志中记为类型4。对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件。所以，类型4登录通常表明某计划任务的启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

5 - Service（由服务控制器启动的Windows服务）：

与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5。所以，类型5登录通常标明某服务的启动。失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够权限而无需费力猜测服务密码了。

7 - Unlock（屏保解锁）：

Windows屏保解锁操作被记录为一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

8 - NetworkCleartext（网络登录时使用明文凭据）：

这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的。Windows Server服务（LanmanServer）是不允许通过明文验证连接到共享文件夹或打印机的。只有当从一个使用Advapi的ASP脚本登录，或者一个用户使用基本验证方式登录IIS时，才会被标记为这种登录类型。

9 - NewCredentials（使用/netonly选项时由RunAs使用）：当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它。但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9。如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2。

10 - RemoteInteractive（远程交互）：

当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将登录类型记为类型10，以便与真正的控制台登录相区别，注意Windows XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。

11 - CachedInteractive（缓存交互）：

Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能。默认情况下，Windows缓存了最近10 次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份，并记录登录类型为类型11。

新登录

-

该字段会指明新登录是为哪个帐户创建的，即登录的帐户。

-

安全 ID

如前文所述。

-

帐户名

执行登录的用户帐户。例如，这可能是NT AUTHORITY\SYSTEM，这是用于启动许多Windows 服务的LocalSystem帐户。

账户域

执行登录的用户归属域。如果是工作组环境，则显示为相应的计算机名称。如果是域环境，则显示为相应的域信息。

网络

-

字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

-

工作站名

登录来源主机名称。通过远程交互式登录时显示为客户端主机名，其它登录类型通常为本地计算机的计算机名。

-

源网络地址

通过远程交互式登录时的客户端IP地址。

-

源端口

通过远程交互式登录时客户端使用的端口。

进程信息

-

登录操作调用的进程信息。

详细身份验证信息

-

提供关于此特定登录请求的详细信息。指试图登录帐户时调用的安全数据包。身份验证数据包是分析登录数据并决定是否对帐户进行身份验证的动态链接库（DLL）。最常用的有Kerberos、Negotiate、NTLM和MICROSOFT_AUTHENTICATION_PACKAGE_V1_0（也称MSV1_0；可对SAM数据库中的用户进行身份验证，支持对受信任域中帐户进行pass-through身份验证，支持子身份验证数据