服务器事件查看器里面全部是ANONYMOUS LOGON这个账户的登陆日志

Posted 2023-03-19

这个账户是做什么的？这个匿名用户老是频繁的登陆，源地址是多个不同的IP地址，什么原因呢？ 怎么才可以禁止访问，请高手帮帮忙。。。

用户注销:
用户名: ANONYMOUS LOGON
域: NT AUTHORITY
登录 ID: (0x0,0xD54F8E4)
登录类型: 3

成功的网络登录:
用户名:
域:
登录 ID: (0x0,0xD54F8C5)
登录类型: 3
登录过程: NtLmSsp
身份验证数据包: NTLM
工作站名: KAWAN-001
登录 GUID: -
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: -
传递服务: -
源网络地址: 95.88.120.193
源端口: 0

服务器事件查看器里面全部是ANONYMOUS LOGON这个账户的登录日志是设置错误造成的，解决方法为:

1、启动Windows 7操作系统，唤出开始菜单选择"控制面板"项。

2、唤出"控制面板"程序窗口，点击"系统和安全"图标。

3、唤出"系统和安全"选项界面，点击"管理工具→计算机管理"图标。

4、唤出"计算机管理"程序窗口，选择"计算机管理(本地)→系统工具"文件夹。

5、选择"事件查看器→Windows 日志→系统"文件夹，点击右侧"操作→属性"图标。

6、弹出"日志属性"对话框，点击"常规→清除日志"按钮。

7、完成事件查看器清除事件日志的操作。

参考技术A 查看 事件查看器->安全性 时，发现频繁出现大量的ANONYMOUS LOGON登陆/注销日志，这种行为，开始担心是有人尝试匿名登陆服务器(攻击行为)，到网上搜了一下，大部份的内容是说可能受攻击了，经过分析和测验，发现是因为服务器有 文件和打印机共享，当内网用户，访问这些共享的内容时，就会记录以上信息，希望能帮助到遇到同样问题的朋友。
解决方法：
打开windows防火墙->设置->例外->取消掉“文件和打印机共享”即可。但负面结果是，若在内网有共享的资源，将不能用匿名和guest访问。 参考技术B 如何查看自己的服务器的日记? （以Windows 2003系统为例）

1、开始－－管理工具－－事件查看器－－系统 或者 控制面板－－管理工具－－事件查看器－－系统。

2、在远程客户端，运行IE浏览器，在地址栏中输入逗服务器IP地址:8098地，如逗地。在弹出的登录对话框中输入管理员的。

用户名和密码，点击逗确定地按钮即可登录Web访问接口管理界面。接着在逗欢迎使用地界面中点击逗维护地链接，切换到逗维护地管理页面，然后点击逗日志地链接，进入。

到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。选择系统日志可进行查看。并且在日志管理页面中可列出Windows 2003服务器。

的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。 参考技术C “Anonymous”是一个组织松散的全球黑客组织，此前曾攻击了埃及和突尼斯政府网站。2011年2月3日，也门总统萨利赫的网站也遭到该黑客组织攻击，导致无法登录。

IIS事件查看器_WebServer事件查看器_帮助查看IIS-Web服务器事件执行日志

　　IIS服务器是我们常用的Web站点部署工具，而我们有时可能遇到IIS服务器的应用程序池莫名其妙的关闭了，或者是其他未知原因等等，我们这是可以通过微软提供的WebServer（Web服务事件查看器），来帮助我们查找原因。

打开方法

编辑

方法一：可以通过单击鼠标右键至“我的电脑”（windows7的“计算机”），在弹出的快捷菜单下选择“管理”，会弹出计算机管理菜单，选择菜单下的“事件查看器”即可，单击会出现三个选项，其中的系统可以帮助用户查看电脑的上次开关机时间。

方法二：点击“开始→运行”，输入eventvwr，点击“确定”，就可以打开事件查看器。

方法三：单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，开事件查看器窗口。

方法四：在“运行”对话框中手工键入“%SystemRoot%/system32/eventvwr.msc /s”打开事件查看器窗口。

方法五：最快的方法，单击“开始”，输入”事件”或者”事件查看器”。

 

 

 

下面是百度百科正文：

参考文章链接：http://baike.baidu.com/view/1035.htm

存放日志

微软在Windows 2000/NT/XP/2003等操作系统中都集成有事

操作页面

件查看器，它可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。

系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，用户不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。^[2] 

安全日志中存放了审核事件是否成功的信息。通过查看这些信息，用户可以了解到这些安全审核结果为成功还是失败。^[2] 

应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，用户可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。^[2] 

解决问题

编辑

查到导致系统问题的事件后，需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持知识库以及Eventid. net网站。

微软在线技术支持知识库(KB)： 微软知识库的文章是由微软公司官方资料和微软MVP(微软最有价值专家)撰写的技术文章组成，主要解决微软产品的问题及故障。

当微软每一个产品的Bug和容易出错的应用点被发现以后，都将有与其对应的KB文章分析这项错误的解决方案。

在微软知识库网页左边的“搜索(知识库)”中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意。

Eventid. net网站：这个网站由众多微软MVP(最有价值专家)主持，几乎包含了全部系统事件的解决方案。

登录网站后，单击“Search Events(搜索事件)”链接，出现事件搜索页面。根据页面提示，输入Event ID(事件ID)和Event Source(事件源)，并单击“Search”按钮。网站的系统会找到所有相关的资源及解决方案。最重要的是，享受这些解决方案是完全免费的。当然，网站的付费用户则能享受到更好的服务，比如直接访问针对某事件的知识库文章集等。

除了这两个网站之外，微软中文社区提供在线的免费技术支持和定期的专家聊天，只要稍加利用，都可以成为解决系统疑难杂症的宝贵资源。

常见ID代码

编辑

ID	类型	来源	代表的意义举例解释
2	信息	Serial	在验证 \Device\Serial1 是否确实是串行口时，系统检测到先进先出方式(fifo)。将使用该方式。
17	错误	W32Time	时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)
20	警告	Print	已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e
26	信息	Application Popup	弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL，因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
29	错误	W32Time	时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间，但是，没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。 NtpClient 没有准确时间的时间源。
35	信息	W32Time	时间服务现在用时间源 同步 系统时间。
115	信息	SRService	系统还原监视在所有驱动器上启用。
116	信息	SRService	系统还原监视在所有驱动器上禁用。
1001	信息	Save Dump	计算机已经从检测错误后重新启动。
1005	警告	Dhcp	您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址已在网络上使用。 计算机会自动获取另一个地址。
3260	信息	Workstation	此计算机成功加入到 workgroup ‘WORKGROUP‘。
4202	信息	Tcpip	系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开， 而且网卡的网络配置已经释放。如果 网卡没有断开，这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。
4226	警告	Tcpip	TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。
4377	信息	NtServicePack	Windows XP Hotfix KB873339 was installed.
6005	信息	EventLog	事件日志服务已启动。(开机)
6006	信息	EventLog	事件日志服务已停止。(关机)
6009	信息	EventLog	按ctrl、alt、delete键(非正常)关机
6011	信息	EventLog	此机器的 NetBIOS 名称和 DNS 主机名从 MACHINENAME 更改为 AA。
7000	错误	Service Control Manager	由于下列错误，npkcrypt 服务启动失败:
7031	错误	Service Control Manager	Eset Service 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行: 重新启动服务。
7035	信息	Service Control Manager	xxx服务成功发送一个开始控件。
7036	信息	Service Control Manager	xxx服务处于运行或停止等状态。
8033	信息	BROWSER	由于主浏览器已经停止，浏览器在网络上进行强制性的选举。
10000	错误	DCOM	无法启动 DCOM 服务器。 错误:
15007	信息	HTTP	成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。
60054	信息	Setup	安装程序成功地完成了安装 Windows 内部版本 2600。
64002	信息	Windows File Protection	试图在被保护的系统文件 上进行文件替换。 为了维护系统稳定，这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。
64008	警告	Windows File Protection	无法验证受保护的系统文件，原因是 Windows 文件保护中断。 请过一会儿使用 SFC 工具验证该文件的完整性。