Anerys <spam.nie.jest@spoko.pl> napisał(a):
Zalogowane ładnie... Ale nie widzę tu bezpośrednio sygnatur czasowych,
widzę kto, nie widzę kiedy... to da się jakoś z tych liczb hex,
bezpośrednio, czy w powiązaniu z innym logiem, czy tylko symbole
zostają, choć o tyle dobrze, że wiadomo kto i co...
Myślałem, że się domyślisz, że to tylko tzw. opis zdarzenia. Jak każde
zdarzenie z dziennika zdarzeń, zdarzenia inspekcji mają takie metadane jak
dokładna data i godzina, identyfikator, źródło czy użytkownik. Poniżej pełny
wpis.
Nazwa dziennika:Security
Źródło: Microsoft-Windows-Security-Auditing
Data: 2013-05-23 15:55:41
Identyfikator zdarzenia:4663
Kategoria zadania:System plików
Poziom: Informacje
Słowa kluczowe:Sukcesy inspekcji
Użytkownik: Nie dotyczy
Komputer: gnseven
Opis:
Podjęto próbę uzyskania dostępu do obiektu.
Podmiot:
Identyfikator zabezpieczeń: gnseven\Grzegorz
Nazwa konta: Grzegorz
Domena konta: gnseven
Identyfikator logowania: 0x27b9b
Obiekt:
Serwer obiektu: Security
Typ obiektu: File
Nazwa obiektu: C:\Users\Grzegorz\Desktop\Nowy folder\testowy.TXT
Identyfikator dojścia: 0x50
Informacje o procesie:
Identyfikator procesu: 0xc9c
Nazwa procesu: C:\Windows\System32\cmd.exe
Informacje o żądaniu dostępu:
Operacje dostępu: DELETE
Maska dostępu: 0x10000
Kod XML zdarzenia:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing"
Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4663</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12800</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2013-05-23T13:55:41.711914000Z" />
<EventRecordID>2016495</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="64" />
<Channel>Security</Channel>
<Computer>gnseven</Computer>
<Security />
</System>
<EventData>
<Data
Name="SubjectUserSid">S-1-5-21-3714954948-505959634-522950757-1000</Data>
<Data Name="SubjectUserName">Grzegorz</Data>
<Data Name="SubjectDomainName">gnseven</Data>
<Data Name="SubjectLogonId">0x27b9b</Data>
<Data Name="ObjectServer">Security</Data>
<Data Name="ObjectType">File</Data>
<Data Name="ObjectName">C:\Users\Grzegorz\Desktop\Nowy
folder\testowy.TXT</Data>
<Data Name="HandleId">0x50</Data>
<Data Name="AccessList">%%1537
</Data>
<Data Name="AccessMask">0x10000</Data>
<Data Name="ProcessId">0xc9c</Data>
<Data Name="ProcessName">C:\Windows\System32\cmd.exe</Data>
</EventData>
</Event>
--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/
Uptime: 7 days, 13 hours, 7 minutes and 26 seconds
|