计算机课程设计：主机安全审计系统 针对组织机构内部计算机的违规使用带来的安全问题，设计一个主机安全审计系统

Event[0] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:59.5750000Z Event ID: 4798 Task: User Account Management Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: LAPTOP-YCY$ 帐户域: WORKGROUP 登录 ID: 0x3E7 用户: 安全 ID: S-1-5-21-2081232070-2412831515-841413849-1001 帐户名称: 22147 帐户域: LAPTOP-YCY 进程信息: 进程 ID: 0x4654 进程名称: C:\Windows\System32\svchost.exe Event[1] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:59.5630000Z Event ID: 4798 Task: User Account Management Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: LAPTOP-YCY$ 帐户域: WORKGROUP 登录 ID: 0x3E7 用户: 安全 ID: S-1-5-21-2081232070-2412831515-841413849-1001 帐户名称: 22147 帐户域: LAPTOP-YCY 进程信息: 进程 ID: 0x4654 进程名称: C:\Windows\System32\svchost.exe Event[2] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:59.5480000Z Event ID: 4798 Task: User Account Management Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: LAPTOP-YCY$ 帐户域: WORKGROUP 登录 ID: 0x3E7 用户: 安全 ID: S-1-5-21-2081232070-2412831515-841413849-1001 帐户名称: 22147 帐户域: LAPTOP-YCY 进程信息: 进程 ID: 0x4654 进程名称: C:\Windows\System32\svchost.exe Event[3] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:59.5300000Z Event ID: 4798 Task: User Account Management Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: LAPTOP-YCY$ 帐户域: WORKGROUP 登录 ID: 0x3E7 用户: 安全 ID: S-1-5-21-2081232070-2412831515-841413849-1001 帐户名称: 22147 帐户域: LAPTOP-YCY 进程信息: 进程 ID: 0x4654 进程名称: C:\Windows\System32\svchost.exe Event[4] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:56.1880000Z Event ID: 4672 Task: Special Logon Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Event[5] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:56.1880000Z Event ID: 4627 Task: Group Membership Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: LAPTOP-YCY$ 帐户域: WORKGROUP 登录 ID: 0x3E7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。 配置审计组成员身份子类别时，将生成此事件。可以使用“登录 ID”字段，将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 Event[6] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:56.1880000Z Event ID: 4624 Task: Logon Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: LAPTOP-YCY$ 帐户域: WORKGROUP 登录 ID: 0x3E7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: 否 提升的令牌: 是 模拟级别: 模拟 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3a8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时，将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用，并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥，则此字段将为 0。 Event[7] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:55.8270000Z Event ID: 5379 Task: User Account Management Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2081232070-2412831515-841413849-1001 帐户名称: 22147 帐户域: LAPTOP-YCY 登录 ID: 0xED5551CD 读取操作: 枚举凭据 用户对存储在凭据管理器中的凭据执行读取操作时，此事件会发生。 Event[8] Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 2022-12-06T14:02:55.8270000Z Event ID: 5379 Task: User Account Management Level: 信息 Opcode: 信息 Keyword: 审核成功 User: N/A User Name: N/A Computer: LAPTOP-YCY Description: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2081232070-2412831515-841413849-1001 帐户�