windows日志事件id 4625,帐户登录失败。登录类型: 3 失败信息: 失败原因: 未知用户名或密码错误。登录进程: NtLmSsp 身份验证数据包: NTLM。已知是从某台QQmail01邮件服务器进行的登录NTLM认证失败,如何知道用户通过邮件mapi、owa、smtp,这三种方式的哪一种的登录失败?

冉凡瑞 1,395 信誉分
2024-10-09T09:28:41.04+00:00

日志内容如下: 时间 : 2024-10-08 09:03:33 显示名称 : mail001 设备 : mail001 事件ID : 4625 严重性 : failure 类型 : Security 源 : Microsoft-Windows-Security-Auditing 用户名 : san_zhang 日志类型 : Windows 消息 : 帐户登录失败。 使用者: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 登录类型: 3 登录失败的帐户: 安全 ID: S-1-0-0 帐户名: ******@contoso.com.cn 帐户域: 失败信息: 失败原因: 未知用户名或密码错误。 状态: 0xC000006D 子状态: 0xC000006A 进程信息: 调用方进程 ID: 0x0 调用方进程名: - 网络信息: 工作站名: localhost 源网络地址: 192.168.10.11 源端口: 54812 详细身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 登录请求失败时在尝试访问的计算机上生成此事件。 “使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。 “进程信息”字段表明系统上的哪个帐户和进程请求了登录。 “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。 “身份验证信息”字段提供关于此特定登录请求的详细信息。 -“传递服务”指明哪些直接服务参与了此登录请求。 -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。 -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

如何知道用户san_zhang登录失败,是通过邮件的mapi、owa、smtp,这三种方式的哪一种的登录失败? 或者如何从别的日志中获取到此用户的登录方式?

Outlook | Windows | 经典 Outlook for Windows | 商业版
0 个注释 无注释
{count} 票

1 个答案

排序依据: 非常有帮助
  1. 匿名
    2024-10-11T01:53:09.17+00:00

    您好 @冉凡瑞

    欢迎您来到微软中文论坛。

    要确定用户 liu_liang 的登录失败是通过哪种方式(MAPI、OWA、SMTP),可以通过以下方法进行分析:

    1. 您提供的日志信息中,事件ID为 4625,表示登录失败。登录类型为 3,表示网络登录。要进一步确定登录方式,您可以检查与此事件相关的其他日志,特别是应用程序日志和Exchange相关的日志。
    2. 日志中显示登录进程为 NtLmSsp,身份验证数据包为 NTLM。这表明使用了NTLM身份验证协议。不同的登录方式可能使用不同的身份验证协议,这可以作为区分的线索。
    3. 日志中提供了源网络地址 172.21.34.28 和源端口 54812。您可以检查Exchange服务器上的连接,看看这个IP地址和端口是否对应于特定的邮件协议。
    4. Exchange服务器通常会记录各个协议的使用情况。您可以检查MAPI、OWA、SMTP的日志,看看是否有对应时间的登录失败记录。
    5. 如果上述方法无法确定,您可以考虑在Exchange服务器上启用更详细的审核日志,以捕获更多关于登录尝试的信息。

    如果答案有帮助,请点击“接受答案”并投赞成票。如果您对此答案有其他疑问,请点击“评论”。


你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。