原文来自博客园，点击阅读原文

Windows 应急响应

常见事件ID

• 1102 清理审计日志

• 4624 账号登陆成功

• 4625 账号登陆失败

• 4672 授予特殊权限

• 4720 创建用户

• 4726 删除用户

• 4728 将成员添加到启用安全的全局组中

• 4729 将成员从安全组移除

• 4732 将成员添加到启用安全的本地组中

• 4733 将成员从启用安全的本地组移除

• 4756 将成员添加到启用安全的通用组中

• 4757 将成员从启用安全的通用组中移除

• 4719 系统审计策略修改

常见登陆类型

• 2 交互式登陆（用户从控制台登陆）

• 3 网络 （比如通过net use，访问共享网络、共享文件夹）

• 4 批处理 （计划任务）

• 5 服务启动 （服务启动时，win会先创建一个新的登陆会话）

• 6 不支持

• 7 解锁 （锁屏解锁）

• 8 网络明文 （IIS服务器登陆验证）

• 9 新凭证 （使用带/netonly 参数的runas命令允许程序时）

• 10 远程交互 （终端服务、远程桌面、远程辅助）

• 11 缓存域证书登陆

命令

 netstat -ano | more  tasklist | findstr "xxx"  systeminfo  net user  net user admin

Reference

http://www.freebuf.com/vuls/175560.html