none
有关Windows系统事件查看器的问题 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    1月22日,服务器日志被清除(Server 2012),请教以下问题:

     1、<用户暂缺>,是什么原因导致的?

    2、<登录ID>  代表什么信息?

    3、被清除的日志能不能找回来?

    日志名称:          Security
    来源:            Microsoft-Windows-Eventlog
    日期:            2018/1/22 18:31:40
    事件 ID:         1102
    任务类别:          日志清除
    级别:            信息
    关键字:           审核成功
    用户:            暂缺
    计算机:           Deppon-760-Data
    描述:
    审核日志已被清除。
    主题:
    安全 ID: S-1-5-21-1621058206-124552292-3167124136-500
    帐户名称: Administrator
    域名: DEPPON-760-DATA
    登录 ID: 0x8e977
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
        <EventID>1102</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>104</Task>
        <Opcode>0</Opcode>
        <Keywords>0x4020000000000000</Keywords>
        <TimeCreated SystemTime="2018-01-22T10:31:40.609129400Z" />
        <EventRecordID>23350</EventRecordID>
        <Correlation />
        <Execution ProcessID="780" ThreadID="4772" />
        <Channel>Security</Channel>
        <Computer>Deppon-760-Data</Computer>
        <Security />
      </System>
      <UserData>
        <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
          <SubjectUserSid>S-1-5-21-1621058206-124552292-3167124136-500</SubjectUserSid>
          <SubjectUserName>Administrator</SubjectUserName>
          <SubjectDomainName>DEPPON-760-DATA</SubjectDomainName>
          <SubjectLogonId>0x8e977</SubjectLogonId>
        </LogFileCleared>
      </UserData>
    </Event>

    2018年1月24日 7:57
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    事件描述是“审核日志被清除”,还提供了触发该事件的用户信息,包括用户的SID、登录ID。你可以在安全日志中用登录ID找出他的登录事件。登录事件的事件id是4624,找出登录事件里包含相同登录id的登录事件。

    请查看以下路径的日志,包含你旧的日志。

    C:\Windows\System32\winevt\Logs system.evtx security.evtx

    更多关于Event 1102的信息,你可以参考下面的链接:

    https://docs.microsoft.com/zh-cn/windows/device-security/auditing/event-1102

    请注意你的上传的事件日志里包含的隐私信息

    Best Regards,
    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com




    2018年1月25日 9:18
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    你好,

    请问回复的信息对你是否有用。如果你需要进一步的帮助,请告诉我们。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月26日 9:33
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月29日 6:26
    |
    版主