服务器事件查看器里面全部是ANONYMOUS LOGON这个账户的登陆日志
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服务器事件查看器里面全部是ANONYMOUS LOGON这个账户的登陆日志相关的知识,希望对你有一定的参考价值。
这个账户是做什么的?这个匿名用户老是频繁的登陆,源地址是多个不同的IP地址,什么原因呢? 怎么才可以禁止访问,请高手帮帮忙。。。
用户注销:
用户名: ANONYMOUS LOGON
域: NT AUTHORITY
登录 ID: (0x0,0xD54F8E4)
登录类型: 3
成功的网络登录:
用户名:
域:
登录 ID: (0x0,0xD54F8C5)
登录类型: 3
登录过程: NtLmSsp
身份验证数据包: NTLM
工作站名: KAWAN-001
登录 GUID: -
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: -
传递服务: -
源网络地址: 95.88.120.193
源端口: 0
服务器事件查看器里面全部是ANONYMOUS LOGON这个账户的登录日志是设置错误造成的,解决方法为:
1、启动Windows 7操作系统,唤出开始菜单选择"控制面板"项。
2、唤出"控制面板"程序窗口,点击"系统和安全"图标。
3、唤出"系统和安全"选项界面,点击"管理工具→计算机管理"图标。
4、唤出"计算机管理"程序窗口,选择"计算机管理(本地)→系统工具"文件夹。
5、选择"事件查看器→Windows 日志→系统"文件夹,点击右侧"操作→属性"图标。
6、弹出"日志属性"对话框,点击"常规→清除日志"按钮。
7、完成事件查看器清除事件日志的操作。
参考技术A 查看 事件查看器->安全性 时,发现频繁出现大量的ANONYMOUS LOGON登陆/注销日志,这种行为,开始担心是有人尝试匿名登陆服务器(攻击行为),到网上搜了一下,大部份的内容是说可能受攻击了,经过分析和测验,发现是因为服务器有 文件和打印机共享,当内网用户,访问这些共享的内容时,就会记录以上信息,希望能帮助到遇到同样问题的朋友。解决方法:
打开windows防火墙->设置->例外->取消掉“文件和打印机共享”即可。但负面结果是,若在内网有共享的资源,将不能用匿名和guest访问。 参考技术B 如何查看自己的服务器的日记? (以Windows 2003系统为例)
1、开始--管理工具--事件查看器--系统 或者 控制面板--管理工具--事件查看器--系统。
2、在远程客户端,运行IE浏览器,在地址栏中输入逗服务器IP地址:8098地,如逗地。在弹出的登录对话框中输入管理员的。
用户名和密码,点击逗确定地按钮即可登录Web访问接口管理界面。接着在逗欢迎使用地界面中点击逗维护地链接,切换到逗维护地管理页面,然后点击逗日志地链接,进入。
到日志管理页面。在日志管理页面中,管理员可以查看、下载或清除Windows 2003服务器日志。选择系统日志可进行查看。并且在日志管理页面中可列出Windows 2003服务器。
的所有日志分类,如应用程序日志、安全日志、系统日志、Web管理日志等。 参考技术C “Anonymous”是一个组织松散的全球黑客组织,此前曾攻击了埃及和突尼斯政府网站。2011年2月3日,也门总统萨利赫的网站也遭到该黑客组织攻击,导致无法登录。
IIS事件查看器_WebServer事件查看器_帮助查看IIS-Web服务器事件执行日志
IIS服务器是我们常用的Web站点部署工具,而我们有时可能遇到IIS服务器的应用程序池莫名其妙的关闭了,或者是其他未知原因等等,我们这是可以通过微软提供的WebServer(Web服务事件查看器),来帮助我们查找原因。
下面是百度百科正文:
参考文章链接:http://baike.baidu.com/view/1035.htm
存放日志
微软在Windows 2000/NT/XP/2003等操作系统中都集成有事
操作页面
件查看器,它可以完成许多工作,比如审核系统事件和存放系统、安全及应用程序日志等。
系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,用户不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。[2]
安全日志中存放了审核事件是否成功的信息。通过查看这些信息,用户可以了解到这些安全审核结果为成功还是失败。[2]
应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误,用户可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。[2]
解决问题
编辑
查到导致系统问题的事件后,需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径:微软在线技术支持知识库以及Eventid. net网站。
微软在线技术支持知识库(KB): 微软知识库的文章是由微软公司官方资料和微软MVP(微软最有价值专家)撰写的技术文章组成,主要解决微软产品的问题及故障。
当微软每一个产品的Bug和容易出错的应用点被发现以后,都将有与其对应的KB文章分析这项错误的解决方案。
在微软知识库网页左边的“搜索(知识库)”中输入相关的关键字进行查询,事件发生源和ID等信息。当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询也并不是一个坏主意。
Eventid. net网站:这个网站由众多微软MVP(最有价值专家)主持,几乎包含了全部系统事件的解决方案。
登录网站后,单击“Search Events(搜索事件)”链接,出现事件搜索页面。根据页面提示,输入Event ID(事件ID)和Event Source(事件源),并单击“Search”按钮。网站的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然,网站的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。
除了这两个网站之外,微软中文社区提供在线的免费技术支持和定期的专家聊天,只要稍加利用,都可以成为解决系统疑难杂症的宝贵资源。
常见ID代码
编辑
ID |
类型 |
来源 |
代表的意义举例解释 |
2 |
信息 |
Serial |
在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。 |
17 |
错误 |
W32Time |
时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751) |
20 |
警告 |
|
已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e |
26 |
信息 |
Application Popup |
弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。 |
29 |
错误 |
W32Time |
时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。 NtpClient 没有准确时间的时间源。 |
35 |
信息 |
W32Time |
时间服务现在用时间源 同步 系统时间。 |
115 |
信息 |
SRService |
系统还原监视在所有驱动器上启用。 |
116 |
信息 |
SRService |
系统还原监视在所有驱动器上禁用。 |
1001 |
信息 |
Save Dump |
计算机已经从检测错误后重新启动。 |
1005 |
警告 |
Dhcp |
您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址已在网络上使用。 计算机会自动获取另一个地址。 |
3260 |
信息 |
Workstation |
此计算机成功加入到 workgroup ‘WORKGROUP‘。 |
4202 |
信息 |
Tcpip |
系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开, 而且网卡的网络配置已经释放。如果 网卡没有断开,这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。 |
4226 |
警告 |
Tcpip |
TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。 |
4377 |
信息 |
NtServicePack |
Windows XP Hotfix KB873339 was installed. |
6005 |
信息 |
EventLog |
事件日志服务已启动。(开机) |
6006 |
信息 |
EventLog |
事件日志服务已停止。(关机) |
6009 |
信息 |
EventLog |
按ctrl、alt、delete键(非正常)关机 |
6011 |
信息 |
EventLog |
此机器的 NetBIOS 名称和 DNS 主机名从 MACHINENAME 更改为 AA。 |
7000 |
错误 |
Service Control Manager |
由于下列错误,npkcrypt 服务启动失败: |
7031 |
错误 |
Service Control Manager |
Eset Service 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行: 重新启动服务。 |
7035 |
信息 |
Service Control Manager |
xxx服务成功发送一个开始控件。 |
7036 |
信息 |
Service Control Manager |
xxx服务处于运行或停止等状态。 |
8033 |
信息 |
BROWSER |
由于主浏览器已经停止,浏览器在网络上进行强制性的选举。 |
10000 |
错误 |
DCOM |
无法启动 DCOM 服务器。 错误: |
15007 |
信息 |
HTTP |
成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。 |
60054 |
信息 |
Setup |
安装程序成功地完成了安装 Windows 内部版本 2600。 |
64002 |
信息 |
Windows File Protection |
试图在被保护的系统文件 上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。 |
64008 |
警告 |
Windows File Protection |
无法验证受保护的系统文件,原因是 Windows 文件保护中断。 请过一会儿使用 SFC 工具验证该文件的完整性。 |
以上是关于服务器事件查看器里面全部是ANONYMOUS LOGON这个账户的登陆日志的主要内容,如果未能解决你的问题,请参考以下文章
IIS事件查看器_WebServer事件查看器_帮助查看IIS-Web服务器事件执行日志