Remove From My Forums

如何通过事件查看器查询自己电脑是否有被扫描

问题
0

登录进行投票
我的操作系统是win7旗舰版sp1、64位，在未开防火墙的时候，在事件查看器=》安全里面发现

日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2019/8/2 18:03:04
事件 ID: 4653
任务类别: IPsec 主模式
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: 1-PC
描述:
IPsec 主模式协商失败。

本地终结点:
本地主体名称: -
网络地址: 自己的IP（本机）
键控模块端口: 500

远程终结点:
主体名称: -
网络地址: 对方的IP（扫描）
键控模块端口: 500

附加信息:
键控模块名称: IKEv2
身份验证方法: 未知的身份验证
角色: 响应程序
模拟状态: 未启用
主模式筛选器 ID: 0

失败信息:
失败点: 本地计算机
失败原因: 没有配置策略

状态: 无状态
发起程序 Cookie: 3167326331686655
响应程序 Cookie: e93521e893ab7ee8
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4653</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12547</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2019-08-02T10:03:04.462890600Z" />
<EventRecordID>27008</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="6384" />
<Channel>Security</Channel>
<Computer>1-PC</Computer>
<Security />
</System>
<EventData>
<Data Name="LocalMMPrincipalName">-</Data>
<Data Name="RemoteMMPrincipalName">-</Data>
<Data Name="LocalAddress"> 自己的IP（本机）</Data>
<Data Name="LocalKeyModPort">500</Data>
<Data Name="RemoteAddress">对方的IP（扫描）</Data>
<Data Name="RemoteKeyModPort">500</Data>
<Data Name="KeyModName">%%8244</Data>
<Data Name="FailurePoint">%%8199</Data>
<Data Name="FailureReason">没有配置策略
</Data>
<Data Name="MMAuthMethod">%%8194</Data>
<Data Name="State">%%8201</Data>
<Data Name="Role">%%8206</Data>
<Data Name="MMImpersonationState">%%8217</Data>
<Data Name="MMFilterID">0</Data>
<Data Name="InitiatorCookie">3167326331686655</Data>
<Data Name="ResponderCookie">e93521e893ab7ee8</Data>
</EventData>
</Event>

现在已经开启防火墙，想知道怎么通过事件查看器查看是否被别人进行扫描端口
- 已编辑 7788560fff 2019年8月5日 7:58 写错了
2019年8月5日 2:55

回复

|

引用

全部回复

0

登录进行投票
你好，

就我所知，通常都是看Windows firewall的log来看TCP/UDP是否发送异常。Event viewer中的事件记录比较少，肯能无法确定。但是可以尝试看一下event id中的详细信息。在Windows-security event中是否记录了多次的异常连接，

希望对您有帮助，如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已建议为答案 Carl FanMicrosoft contingent staff, Moderator 2019年8月7日 9:33
2019年8月5日 9:26

回复

|

引用

版主
0

登录进行投票
这些日志我也经常见，应该没有什么问题。怀疑被恶意程序扫描端口还是看防火墙的日志比较好。

Alexis Zhang

http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545

推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

本帖是回复帖，原帖作者是楼上的 <7788560fff>；

| 我的操作系统是win7旗舰版sp1、64位，在未开防火墙的时候，在事件查看器=》安全里面发现
| 日志名称: Security
- 已建议为答案 Carl FanMicrosoft contingent staff, Moderator 2019年8月9日 7:54
2019年8月6日 15:09

回复

|

引用
0

登录进行投票

你好，
几天没收到你的留言了, 请问问题有什么进展吗？
我正在建议有帮助的答复为 "回答"。请随时尝试一下, 让我知道结果。如果回答是有帮助的, 请记住将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2019年8月9日 7:55

回复

|

引用

版主
0

登录进行投票

已经打开防火墙日志功能来看了，在日志里面，只有日期，收发IP，看不出其他相关信息，请问怎么看得出是否被某些机器恶意扫描？

2019年8月12日 3:48

回复

|

引用
0

登录进行投票

已经打开防火墙日志功能来看了，在日志里面，只有日期，收发IP，看不出其他相关信息，请问怎么看得出是否被某些机器恶意扫描？

2019年8月12日 3:48

回复

|

引用
0

登录进行投票

按照答复看了日志，但是看不出所以然

2019年8月12日 3:49

回复

|

引用
0

登录进行投票

短时间内大量数据来自同一指定地址，防火墙有威胁警报，不需要的端口被莫名打开，等等。

Alexis Zhang

http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545

推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

本帖是回复帖，原帖作者是楼上的 <7788560fff>；

| 已经打开防火墙日志功能来看了，在日志里面，只有日期，收发IP，看不出其他相关信息，请问怎么看得出是否被某些机器恶意扫描？

2019年8月12日 12:51

回复

|

引用
0

登录进行投票

防火墙有威胁警报怎么设置？

不需要的端口被莫名打开又在哪里可以看？

2019年8月16日 2:34

回复

|

引用