追踪登录失败的账号

您好，如果您想追踪登录失败的账号，可以按照以下步骤 *** 作：

1. 打开Windows事件查看器。

2. 转到“Windows日志”>“安全”。

3. 在安全日志中，筛选事件ID为4625的事件。

4. 在事件列表中，查找事件ID为4625的事件，并打开它。

5. 在事件详细信息中，查找“帐户名称”和“登录失败的帐户名称”字段，以确定哪个账户登录失败。

6. 如陆败果您想进一步了解有关登录失败的详细信息，可以查看事件详细信息中的其他字段，例如“失败的登录类型”、“失败的登录宽拆位置”和“失败的原因”等。

通过这些步骤，您可以追踪登录失败的账户，并了解有关登录失慎悉枣败的更多详细信息。希望这可以帮助您。

Windows应急日志常用的几个事件ID

点击站内没余大有搜索到，可棚厅能搜索姿势不对，发一下吧，链毁隐应急时可能会用到，根据日志时间点判断入侵

日志路径：C:WindowsSystem32winevtLogs

查看日志：Security.evtx、System.evtx、Application.evtx

如何查看：右键我的电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器

打开Windows系统的事件查看器，右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。

系统：

1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。

6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。

104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。

安全：

4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。

4625，这个事件ID表示登陆失败的用户。

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。

4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

---