none
如何通过事件查看器查询自己电脑是否有被扫描 RRS feed

  • 问题

  • 我的操作系统是win7旗舰版sp1、64位,在未开防火墙的时候,在事件查看器=》安全里面发现

    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2019/8/2 18:03:04
    事件 ID:         4653
    任务类别:          IPsec 主模式
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           1-PC
    描述:
    IPsec 主模式协商失败。

    本地终结点:
    本地主体名称: -
    网络地址: 自己的IP(本机)
    键控模块端口: 500

    远程终结点:
    主体名称: -
    网络地址: 对方的IP(扫描)
    键控模块端口: 500

    附加信息:
    键控模块名称: IKEv2
    身份验证方法: 未知的身份验证
    角色: 响应程序
    模拟状态: 未启用
    主模式筛选器 ID: 0

    失败信息:
    失败点: 本地计算机
    失败原因: 没有配置策略

    状态: 无状态
    发起程序 Cookie: 3167326331686655
    响应程序 Cookie: e93521e893ab7ee8
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4653</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12547</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2019-08-02T10:03:04.462890600Z" />
        <EventRecordID>27008</EventRecordID>
        <Correlation />
        <Execution ProcessID="636" ThreadID="6384" />
        <Channel>Security</Channel>
        <Computer>1-PC</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="LocalMMPrincipalName">-</Data>
        <Data Name="RemoteMMPrincipalName">-</Data>
        <Data Name="LocalAddress"> 自己的IP(本机)</Data>
        <Data Name="LocalKeyModPort">500</Data>
        <Data Name="RemoteAddress">对方的IP(扫描)</Data>
        <Data Name="RemoteKeyModPort">500</Data>
        <Data Name="KeyModName">%%8244</Data>
        <Data Name="FailurePoint">%%8199</Data>
        <Data Name="FailureReason">没有配置策略
    </Data>
        <Data Name="MMAuthMethod">%%8194</Data>
        <Data Name="State">%%8201</Data>
        <Data Name="Role">%%8206</Data>
        <Data Name="MMImpersonationState">%%8217</Data>
        <Data Name="MMFilterID">0</Data>
        <Data Name="InitiatorCookie">3167326331686655</Data>
        <Data Name="ResponderCookie">e93521e893ab7ee8</Data>
      </EventData>
    </Event>

    现在已经开启防火墙,想知道怎么通过事件查看器查看是否被别人进行扫描端口


    • 已编辑 7788560fff 2019年8月5日 7:58 写错了
    2019年8月5日 2:55

全部回复

  • 你好,

    就我所知,通常都是看Windows firewalllog来看TCP/UDP是否发送异常。Event viewer中的事件记录比较少,肯能无法确定。但是可以尝试看一下event id中的详细信息。在Windows-security event中是否记录了多次的异常连接,

    希望对您有帮助,如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月5日 9:26
    版主
  • 这些日志我也经常见,应该没有什么问题。怀疑被恶意程序扫描端口还是看防火墙的日志比较好。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <7788560fff>;

    | 我的操作系统是win7旗舰版sp1、64位,在未开防火墙的时候,在事件查看器=》安全里面发现
    | 日志名称: Security

    2019年8月6日 15:09
  • 你好,
    几天没收到你的留言了, 请问问题有什么进展吗?
    我正在建议有帮助的答复为 "回答"。请随时尝试一下, 让我知道结果。如果回答是有帮助的, 请记住将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月9日 7:55
    版主
  • 已经打开防火墙日志功能来看了,在日志里面,只有日期,收发IP,看不出其他相关信息,请问怎么看得出是否被某些机器恶意扫描?
    2019年8月12日 3:48
  • 已经打开防火墙日志功能来看了,在日志里面,只有日期,收发IP,看不出其他相关信息,请问怎么看得出是否被某些机器恶意扫描?
    2019年8月12日 3:48
  • 按照答复看了日志,但是看不出所以然
    2019年8月12日 3:49
  • 短时间内大量数据来自同一指定地址,防火墙有威胁警报,不需要的端口被莫名打开,等等。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <7788560fff>;

    | 已经打开防火墙日志功能来看了,在日志里面,只有日期,收发IP,看不出其他相关信息,请问怎么看得出是否被某些机器恶意扫描?

    2019年8月12日 12:51
  • 防火墙有威胁警报怎么设置?

    不需要的端口被莫名打开又在哪里可以看?

    2019年8月16日 2:34