大虾你好 最近使用电脑时无故注销,之后还会自动删除游戏(马化腾家的)文件 重装了系统重新分了盘之后依旧如此。自己查看日志发现注销操作时ID不一样
下面发下日志 大虾可以看到注销操作时登入id不一样是怎么回事。。
特殊登入日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2013/3/21 21:05:24事件 ID: 4672任务类别: 特殊登录级别: 信息关键字: 审核成功用户: 暂缺计算机: holicse-VAIO描述:为新登录分配了特殊权限。
主题:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3e7
特权:SeAssignPrimaryTokenPrivilegeSeTcbPrivilegeSeSecurityPrivilegeSeTakeOwnershipPrivilegeSeLoadDriverPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeDebugPrivilegeSeAuditPrivilegeSeSystemEnvironmentPrivilegeSeImpersonatePrivilege事件 Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2013-03-21T13:05:24.328601700Z" /> <EventRecordID>1905</EventRecordID> <Correlation /> <Execution ProcessID="964" ThreadID="2552" /> <Channel>Security</Channel> <Computer>holicse-VAIO</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT AUTHORITY</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilegeSeTcbPrivilegeSeSecurityPrivilegeSeTakeOwnershipPrivilegeSeLoadDriverPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeDebugPrivilegeSeAuditPrivilegeSeSystemEnvironmentPrivilegeSeImpersonatePrivilege</Data> </EventData></Event>登入日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2013/3/21 21:05:24事件 ID: 4624任务类别: 登录级别: 信息关键字: 审核成功用户: 暂缺计算机: holicse-VAIO描述:已成功登录帐户。
主题:安全 ID:SYSTEM帐户名:HOLICSE-VAIO$帐户域:WORKGROUP登录 ID:0x3e7
登录类型:5
新登录:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3e7登录 GUID:{00000000-0000-0000-0000-000000000000}
进程信息:进程 ID:0x3b4进程名:C:\Windows\System32\services.exe
网络信息:工作站名:源网络地址:-源端口:-
详细身份验证信息:登录进程:Advapi 身份验证数据包:Negotiate传递服务:-数据包名(仅限 NTLM):-密钥长度:0
在创建登录会话后在被访问的计算机上生成此事件。
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。
“新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。
“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。-“传递服务”指明哪些直接服务参与了此登录请求。- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。事件 Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2013-03-21T13:05:24.328601700Z" /> <EventRecordID>1904</EventRecordID> <Correlation /> <Execution ProcessID="964" ThreadID="2552" /> <Channel>Security</Channel> <Computer>holicse-VAIO</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">HOLICSE-VAIO$</Data>
下面发下日志 大虾可以看到注销操作时登入id不一样是怎么回事。。
特殊登入日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2013/3/21 21:05:24事件 ID: 4672任务类别: 特殊登录级别: 信息关键字: 审核成功用户: 暂缺计算机: holicse-VAIO描述:为新登录分配了特殊权限。
主题:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3e7
特权:SeAssignPrimaryTokenPrivilegeSeTcbPrivilegeSeSecurityPrivilegeSeTakeOwnershipPrivilegeSeLoadDriverPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeDebugPrivilegeSeAuditPrivilegeSeSystemEnvironmentPrivilegeSeImpersonatePrivilege事件 Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2013-03-21T13:05:24.328601700Z" /> <EventRecordID>1905</EventRecordID> <Correlation /> <Execution ProcessID="964" ThreadID="2552" /> <Channel>Security</Channel> <Computer>holicse-VAIO</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT AUTHORITY</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilegeSeTcbPrivilegeSeSecurityPrivilegeSeTakeOwnershipPrivilegeSeLoadDriverPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeDebugPrivilegeSeAuditPrivilegeSeSystemEnvironmentPrivilegeSeImpersonatePrivilege</Data> </EventData></Event>登入日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2013/3/21 21:05:24事件 ID: 4624任务类别: 登录级别: 信息关键字: 审核成功用户: 暂缺计算机: holicse-VAIO描述:已成功登录帐户。
主题:安全 ID:SYSTEM帐户名:HOLICSE-VAIO$帐户域:WORKGROUP登录 ID:0x3e7
登录类型:5
新登录:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3e7登录 GUID:{00000000-0000-0000-0000-000000000000}
进程信息:进程 ID:0x3b4进程名:C:\Windows\System32\services.exe
网络信息:工作站名:源网络地址:-源端口:-
详细身份验证信息:登录进程:Advapi 身份验证数据包:Negotiate传递服务:-数据包名(仅限 NTLM):-密钥长度:0
在创建登录会话后在被访问的计算机上生成此事件。
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。
“新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。
“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。-“传递服务”指明哪些直接服务参与了此登录请求。- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。事件 Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2013-03-21T13:05:24.328601700Z" /> <EventRecordID>1904</EventRecordID> <Correlation /> <Execution ProcessID="964" ThreadID="2552" /> <Channel>Security</Channel> <Computer>holicse-VAIO</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">HOLICSE-VAIO$</Data>
