推荐方法一图形界面查看,此功能可查看是否有人破解账号密码登录当前计算机。
方法一:通过图形界面查看
打开事件查看器
- 按
Win + R键打开运行对话框 - 输入
eventvwr.msc并按回车
导航到安全日志
- 在左侧面板展开”Windows 日志”
- 点击”安全”类别
筛选审核失败事件
- 在右侧”操作”面板点击”筛选当前日志”
- 在”关键字”框中选择“审核失败”
- 点击”确定”
查看详细事件信息
- 双击列表中任意事件查看详细信息
- 在”常规”选项卡查看基本事件信息
- 在”详细信息”选项卡查看XML格式的完整数据
方法二:通过命令行查看
- 使用PowerShell查询:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Format-List -Property *- 使用wevtutil工具:
wevtutil qe Security /q:"*[System[(EventID=4625)]]" /f:text /rd:true /c:10常见审核失败事件ID
- 4625:账户登录失败
- 4771:Kerberos预身份验证失败
- 4768:Kerberos认证票证(TGT)请求失败
- 4725:账户被禁用
- 4726:账户被删除
高级技巧
- 创建自定义视图:
- 在事件查看器中右键点击”自定义视图”
- 选择”创建自定义视图”
- 设置筛选条件为特定事件ID和错误级别
- 导出日志分析:
- 右键点击筛选结果选择”保存筛选的日志”
- 导出为.evtx文件供后续分析
- 设置任务计划:
- 对特定审核失败事件可右键选择”将任务附加到此事件”
- 设置触发时发送邮件或执行脚本
通过以上方法,您可以全面查看和分析Windows系统中的审核失败事件,帮助进行安全监控和故障排查。
© 版权声明
THE END
