为了按用户名在 Windows 事件日志中搜索登录,需要使用 Windows Server 以下步骤将允许您按用户名在 Windows 事件日志中搜索登录信息。
1、打开事件查看器并选择安全日志。
2、在操作窗格中选择过滤当前日志。
3、选择 XML 选项卡
4、选择“手动编辑查询”
5、将默认的select语句替换成如下select语句,
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name='Username']='tangjunyi']]</Select>
</Query>
</QueryList>
6. 将 Username 字段更改为在活动目录中为要搜索安全事件的用户。
7. 结果现在显示您的自定义安全日志 XML 搜索。
8. 不要忘记在运行搜索后恢复更改
还可以在查询中使用多个 select 语句来提取同一日志中的不同数据或另一个日志中的数据。
下面的示例将从安全事件日志中提取事件ID为4740的事件,从应用程序事件日志中提取事件ID为1704的事件。
<QueryList>
<Query Id="0">
<Select Path="Security">*[System[(EventID='4740')]]</Select>
<Select Path="Application">*[System[(EventID='1704')]]</Select>
</Query>
</QueryList>
假设我们只对涉及这些用户中的任何一个的特定事件 ID 感兴趣。 我们可以合并一个 AND 布尔值来过滤系统数据。
下面的查询为用户 test5 或 test9 查找安全事件ID为4740的事件。
<QueryList>
<Query Id="0">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='test5' or Data='test9')]]
and
*[System[(EventID='4740')]]
</Select>
</Query>
</QueryList>
具体参考微软官方 也可以检索Event ID为 4663 的日志记录,进行筛选。
https://docs.microsoft.com/zh-cn/archive/blogs/askds/advanced-xml-filtering-in-the-windows-event-viewer
Keberos错误代码表
0x0 KDC_ERR_NONE 正常
0x1 KDC_ERR_NAME_EXP 客户在KDC数据库中的条目具有(ERROR_ACCOUNT_EXPIRED)
0x2 KDC_ERR_SERVICE_EXP KDC数据库中的服务器条目已过期(ERROR_ACCOUNT_EXPIRED)
0x3 KDC_ERR_BAD_PVNO 请求的Kerberos版本号不受支持
0x4 KDC_ERR_C_OLD_MAST_KVNO 客户的密钥在旧的主密钥中加密
0x5 KDC_ERR_S_OLD_MAST_KVNO 服务器的密钥在旧的主密钥中加密
0x6 KDC_ERR_C_PRINCIPAL_UNKNOWN 在Kerberos数据库中找不到客户端
0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN 在Kerberos数据库中找不到服务器
0x8 KDC_ERR_PRINCIPAL_NOT_UNIQUE KDC数据库中的多个主体条目
0x9 KDC_ERR_NULL_KEY 客户端或服务器具有空键(主键)
0xA KDC_ERR_CANNOT_POSTDATE 机票(TGT)不符合过期要求
0xB KDC_ERR_NEVER_VALID 请求的开始时间晚于结束时间
0xC KDC_ERR_POLICY 请求的开始时间晚于结束时间
0xD KDC_ERR_BADOPTION KDC无法容纳请求的选项
0xE KDC_ERR_ETYPE_NOTSUPP KDC不支持加密类型
0xF KDC_ERR_SUMTYPE_NOSUPP KDC不支持校验和类型
0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC不支持PADATA类型(Kerberos预身份验证数据)
0x11 KDC_ERR_TRTYPE_NO_SUPP KDC不支持过渡类型
0x12 KDC_ERR_CLIENT_REVOKED 客户的凭证已被吊销
0x13 KDC_ERR_SERVICE_REVOKED 服务器的凭据已被吊销
0x14 KDC_ERR_TGT_REVOKED TGT已被撤销
0x15 KDC_ERR_CLIENT_NOTYET 客户尚未生效-请稍后再试
0x16 KDC_ERR_SERVICE_NOTYET 服务器尚未生效-请稍后再试
0x17 KDC_ERR_KEY_EXPIRED 密码已过期-更改密码以重设(密码已过期)
0x18 KDC_ERR_PREAUTH_FAILED Kerberos预身份验证信息无效
0x19 KDC_ERR_PREAUTH_REQUIRED 附加的Kerberos预认证所需
0x1A KDC_ERR_SERVER_NOMATCH KDC不知道请求的服务器
0x1B KDC_ERR_SVC_UNAVAILABLE KDC不可用
0x1F KRB_AP_ERR_BAD_INTEGRITY 解密字段的完整性检查失败
0x20 KRB_AP_ERR_TKT_EXPIRED 票已过期
0x21 KRB_AP_ERR_TKT_NYV 票证尚未生效
0x22 KRB_AP_ERR_REPEAT 请求是重播
0x23 KRB_AP_ERR_NOT_US 门票不适合我们
0x24 KRB_AP_ERR_BADMATCH 票证和验证码不匹配
0x25 KRB_AP_ERR_SKEW 该时钟偏差过大
0x26 KRB_AP_ERR_BADADDR 网络层标头中的网络地址与票证中的地址不匹配
0x27 KRB_AP_ERR_BADVERSION 协议版本号不匹配(PVNO)
0x28 KRB_AP_ERR_MSG_TYPE 邮件类型不受支持
0x29 KRB_AP_ERR_MODIFIED 消息流已修改且校验和不匹配
0x2A KRB_AP_ERR_BADORDER 消息混乱(可能会被篡改)
0x2C KRB_AP_ERR_BADKEYVER 指定的密钥版本不可用
0x2D KRB_AP_ERR_NOKEY 服务密钥不可用
0x2E KRB_AP_ERR_MUT_FAIL 相互认证失败
0x2F KRB_AP_ERR_BADDIRECTION 错误的消息方向
0x30 KRB_AP_ERR_METHOD 需要替代的身份验证方法(通常与LDAP_STRONG_AUTH_REQUIRED相同)
0x31 KRB_AP_ERR_BADSEQ 消息中的序列号不正确
0x32 KRB_AP_ERR_INAPP_CKSUM 消息中校验和的类型不正确(校验和可能不受支持)
0x33 KRB_AP_PATH_NOT_ACCEPTED 所需路径无法到达
0x34 KRB_ERR_RESPONSE_TOO_BIG 资料过多
0x3C KRB_ERR_GENERIC 通用错误;说明在电子数据字段中
0x3D KRB_ERR_FIELD_TOOLONG 此执行的字段太长
0x3E KDC_ERR_CLIENT_NOT_TRUSTED 客户端信任失败或未实现
0x3F KDC_ERR_KDC_NOT_TRUSTED 在KDC服务器的信任失败或无法核实
0x40 KDC_ERR_INVALID_SIG 该签名是无效
0x41 KDC_ERR_KEY_TOO_WEAK 需要更高的加密级别(通常与LDAP_STRONG_AUTH_REQUIRED相同)
0x42 KRB_AP_ERR_USER_TO_USER_REQUIRED 用户到用户的授权需要
0x43 KRB_AP_ERR_NO_TGT 没有显示或没有TGT
0x44 KDC_ERR_WRONG_REALM 域或主体不正确(Kerberos领域)
本文由“快乐分享(zhuzengju个人blog) > 管理员”整理编辑。
未注明为原创的文章以及每篇文章的评论内容都不代表本站观点,本站不对此内容的真实性及言论负责。如您发表评论意见,视为同意本站记录言论您的来源IP地址信息及发表时间。
如果喜欢这篇文章,欢迎订阅快乐分享(zhuzengju个人blog)以获得最新内容。
已经有 0 条群众意见