事件ID
4776:計算機試圖驗證帳戶的憑據。
?624:用戶帳戶已創建。? 627:用戶密碼已更改。? 628:用戶密碼已設置。? 630:用戶帳戶已刪除。? 631:全局組已創建。? 632:成員已添加至全局組。? 633:成員已從全局組刪除。? 634:全局組已刪除。? 635:已新建本地組。? 636:成員已添加至本地組。? 637:成員已從本地組刪除。? 638:本地組已刪除。? 639:本地組帳戶已更改。? 641:全局組帳戶已更改。? 642:用戶帳戶已更改。? 643:域策略已修改。? 644:用戶帳戶被自動鎖定。? 645:計算機帳戶已創建。? 646:計算機帳戶已更改。? 647:計算機帳戶已刪除。? 648:禁用安全的本地安全組已創建。? 注意:? 從正式名稱上講,SECURITY_DISABLED 意味著該組不能用來授權訪問檢查。? 649:禁用安全的本地安全組已更改。? 650:成員已添加至禁用安全的本地安全組。? 651:成員已從禁用安全的本地安全組刪除。? 652:禁用安全的本地組已刪除。? 653:禁用安全的全局組已創建。? 654:禁用安全的全局組已更改。? 655:成員已添加至禁用安全的全局組。? 656:成員已從禁用安全的全局組刪除。? 657:禁用安全的全局組已刪除。? 658:啟用安全的通用組已創建。? 659:啟用安全的通用組已更改。? 660:成員已添加至啟用安全的通用組。? 661:成員已從啟用安全的通用組刪除。? 662:啟用安全的通用組已刪除。? 663:禁用安全的通用組已創建。? 664:禁用安全的通用組已更改。? 665:成員已添加至禁用安全的通用組。? 666:成員已從禁用安全的通用組刪除。? 667:禁用安全的通用組已刪除。? 668:組類型已更改。? 684:管理組成員的安全描述符已設置。? 注意:? 在域控制器上,每隔 60 分鐘,后臺線程就會搜索管理組的所有成員(如域、企業和架構管理員),并對其應用一個固定的安全描述符。該事件已記錄。? 685:帳戶名稱已更改。? 三、目錄服務訪問事件? 下面顯示了由"審核目錄服務訪問"安全模板設置所生成的安全事件。? 566:發生了一般對象操作。? 四、登錄事件ID? 528:用戶成功登錄到計算機。? 529:登錄失敗。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登錄。? 530:登錄失敗。試圖在允許的時間外登錄。? 531:登錄失敗。試圖使用禁用的帳戶登錄。? 532:登錄失敗。試圖使用已過期的帳戶登錄。? 533:登錄失敗。不允許登錄到指定計算機的用戶試圖登錄。? 534:登錄失敗。用戶試圖使用不允許的密碼類型登錄。? 535:登錄失敗。指定帳戶的密碼已過期。? 536:登錄失敗。Net Logon 服務沒有啟動。? 537:登錄失敗。由于其他原因登錄嘗試失敗。? 注意:? 在某些情況下,登錄失敗的原因可能是未知的。? 538:用戶的注銷過程已完成。? 539:登錄失敗。試圖登錄時,該帳戶已鎖定。? 540:用戶成功登錄到網絡。? 541:本地計算機與列出的對等客戶端身份(已建立安全關聯)之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成,或者快速模式已建立了數據頻道。? 542:數據頻道已終止。? 543:主要模式已終止。? 注意:? 如果安全關聯的時間限制(默認為 8 小時)過期、策略更改或對等終止,則會發生此情況。? 544:由于對等客戶端沒有提供有效的證書或者簽名無效,造成主要模式身份驗證失敗。? 545:由于 Kerberos 失敗或者密碼無效,造成主要模式身份驗證失敗。? 546:由于對等客戶端發送的建議無效,造成 IKE 安全關聯建立失敗。接收到的程序包包含無效數據。? 547:在 IKE 握手過程中,出現錯誤。? 548:登錄失敗。來自信任域的安全標識符 (SID) 與客戶端的帳戶域 SID 不匹配。? 549:登錄失敗。在林內進行身份驗證時,所有與不受信任的名稱空間相關的 SID 將被篩選出去。? 550:可以用來指示可能的拒絕服務 (DoS) 攻擊的通知消息。? 551:用戶已啟動注銷過程。? 552:用戶使用明確憑據成功登錄到作為其他用戶已登錄到的計算機。? 682:用戶已重新連接至已斷開的終端服務器會話。? 683:用戶還未注銷就斷開終端服務器會話。注意:當用戶通過網絡連接到終端服務器會話時,就會生成此事件。該事件出現在終端服務器上。? 五、對象訪問事件? 下面顯示了由"審核對象訪問"安全模板設置所生成的安全事件。? 560:訪問權限已授予現有的對象。? 562:指向對象的句柄已關閉。? 563:試圖打開一個對象并打算將其刪除。? 注意:? 當在 Createfile() 中指定了 FILE_Delete_ON_CLOSE 標記時,此事件可以用于文件系統。? 564:受保護對象已刪除。? 565:訪問權限已授予現有的對象類型。? 567:使用了與句柄關聯的權限。? 注意:? 創建句柄時,已授予其具體權限,如讀取、寫入等。使用句柄時,最多為每個使用的權限生成一個審核。? 568:試圖創建與正在審核的文件的硬鏈接。? 569:授權管理器中的資源管理器試圖創建客戶端上下文。? 570:客戶端試圖訪問對象。? 注意:? 在此對象上發生的每個嘗試操作都將生成一個事件。? 571:客戶端上下文由授權管理器應用程序刪除。? 572:Administrator Manager(管理員管理器)初始化此應用程序。? 772:證書管理器已拒絕掛起的證書申請。? 773:證書服務已收到重新提交的證書申請。? 774:證書服務已吊銷證書。? 775:證書服務已收到發行證書吊銷列表 (CRL) 的請求。? 776:證書服務已發行 CRL。? 777:已制定證書申請擴展。? 778:已更改多個證書申請屬性。? 779:證書服務已收到關機請求。? 780:已開始證書服務備份。? 781:已完成證書服務備份。? 782:已開始證書服務還原。? 783:已完成證書服務還原。? 784:證書服務已開始。? 785:證書服務已停止。? 786:已更改證書服務的安全權限。? 787:證書服務已檢索存檔密鑰。? 788:證書服務已將證書導入其數據庫中。? 789:證書服務審核篩選已更改。? 790:證書服務已收到證書申請。? 791:證書服務已批準證書申請并已頒發證書。? 792:證書服務已拒絕證書申請。? 793:證書服務將證書申請狀態設為掛起。? 794:證書服務的證書管理器設置已更改。? 795:證書服務中的配置項已更改。? 796:證書服務的屬性已更改。? 797:證書服務已將密鑰存檔。? 798:證書服務導入密鑰并將其存檔。? 799:證書服務已將證書頒發機構 (CA) 證書發行到 Microsoft Active Directory? 目錄服務。? 800:已從證書數據庫刪除一行或多行。? 801:角色分離已啟用。? 六、審核策略更改事件? 下面顯示了由"審核策略更改"安全模板設置所生成的安全事件。? 608:已分配用戶權限。? 609:用戶權限已刪除。? 610:與其他域的信任關系已創建。? 611:與其他域的信任關系已刪除。? 612:審核策略已更改。? 613:Internet 協議安全 (IPSec) 策略代理已啟動。? 614:IPSec 策略代理已禁用。? 615:IPSec 策略代理已更改。? 616:IPSec 策略代理遇到一個可能很嚴重的故障。? 617:Kerberos v5 策略已更改。? 618:加密數據恢復策略已更改。? 620:與其他域的信任關系已修改。? 621:已授予帳戶系統訪問權限。? 622:已刪除帳戶的系統訪問權限。? 623:按用戶設置審核策略。? 625:按用戶刷新審核策略。? 768:檢測到兩個林的名稱空間元素之間有沖突。? 注意:? 當兩個林的名稱空間元素重疊時,解析屬于其中一個名稱空間元素的名稱時,將發生歧義。這種重疊也稱為沖突。并非所有的參數對每一項類型都有效。例如,對于類型為 TopLevelName 的項,有些字段無效,如 DNS 名稱、NetBIOS 名稱和 SID。? 769:已添加受信任的林信息。? 注意:? 當更新林信任信息并且添加了一個或多個項時,將生成此事件消息。為每個添加、刪除或修改的項生成一個事件消息。如果在林信任信息的一個更新中添加、刪除或修改了多個項,則為生成的所有事件消息指派一個唯一標識符,稱為操作 ID。該標識符可以用來確定生成的多個事件消息是一個操作的結果。并非所有的參數對每一項類型都有效。例如,對于類型為 TopLevelName 的項,有些參數是無效的,如 DNS 名稱、NetBIOS 名稱和 SID。? 770:已刪除受信任的林信息。? 注意:? 請參見事件 769 的事件描述。? 771:已修改受信任的林信息。? 注意:? 請參見事件 769 的事件描述。? 805:事件日志服務讀取會話的安全日志配置。? 七、特權使用事件? 下面顯示了由"審核特權使用"安全模板設置所生成的安全事件。? 576:指定的特權已添加到用戶的訪問令牌中。? 注意:? 當用戶登錄時生成此事件。? 577:用戶試圖執行需要特權的系統服務操作。? 578:特權用于已經打開的受保護對象的句柄。? 八、詳細的跟蹤事件? 下面顯示了由"審核過程跟蹤"安全模板設置所生成的安全事件。? 592:已創建新進程。? 593:進程已退出。? 594:對象句柄已復制。? 595:已獲取對象的間接訪問權。? 596:數據保護主密鑰已備份。? 注意:? 主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統 (EFS)。每次新建主密鑰時都進行備份。(默認設置為 90 天。)通常由域控制器備份主密鑰。? 597:數據保護主密鑰已從恢復服務器恢復。? 598:審核過的數據已受保護。? 599:審核過的數據未受保護。? 600:已分配給進程主令牌。? 601:用戶試圖安裝服務。? 602:已創建計劃程序任務。? 九、審核系統事件? 下面顯示了由"審核系統事件"安全模板設置所生成的系統事件。? 512:Windows 正在啟動。? 513:Windows 正在關機。? 514:本地安全機制機構已加載身份驗證數據包。? 515:受信任的登錄過程已經在本地安全機構注冊。? 516:用來列隊審核消息的內部資源已經用完,從而導致部分審核數據丟失。? 517:審核日志已清除。? 518:安全帳戶管理器已加載通知數據包。?
? 519:進程正在使用無效的本地過程調用 (LPC) 端口,試圖偽裝客戶端并向客戶端地址空間答復、讀取或寫入。
?624:用戶帳戶已創建。? 627:用戶密碼已更改。? 628:用戶密碼已設置。? 630:用戶帳戶已刪除。? 631:全局組已創建。? 632:成員已添加至全局組。? 633:成員已從全局組刪除。? 634:全局組已刪除。? 635:已新建本地組。? 636:成員已添加至本地組。? 637:成員已從本地組刪除。? 638:本地組已刪除。? 639:本地組帳戶已更改。? 641:全局組帳戶已更改。? 642:用戶帳戶已更改。? 643:域策略已修改。? 644:用戶帳戶被自動鎖定。? 645:計算機帳戶已創建。? 646:計算機帳戶已更改。? 647:計算機帳戶已刪除。? 648:禁用安全的本地安全組已創建。? 注意:? 從正式名稱上講,SECURITY_DISABLED 意味著該組不能用來授權訪問檢查。? 649:禁用安全的本地安全組已更改。? 650:成員已添加至禁用安全的本地安全組。? 651:成員已從禁用安全的本地安全組刪除。? 652:禁用安全的本地組已刪除。? 653:禁用安全的全局組已創建。? 654:禁用安全的全局組已更改。? 655:成員已添加至禁用安全的全局組。? 656:成員已從禁用安全的全局組刪除。? 657:禁用安全的全局組已刪除。? 658:啟用安全的通用組已創建。? 659:啟用安全的通用組已更改。? 660:成員已添加至啟用安全的通用組。? 661:成員已從啟用安全的通用組刪除。? 662:啟用安全的通用組已刪除。? 663:禁用安全的通用組已創建。? 664:禁用安全的通用組已更改。? 665:成員已添加至禁用安全的通用組。? 666:成員已從禁用安全的通用組刪除。? 667:禁用安全的通用組已刪除。? 668:組類型已更改。? 684:管理組成員的安全描述符已設置。? 注意:? 在域控制器上,每隔 60 分鐘,后臺線程就會搜索管理組的所有成員(如域、企業和架構管理員),并對其應用一個固定的安全描述符。該事件已記錄。? 685:帳戶名稱已更改。? 三、目錄服務訪問事件? 下面顯示了由"審核目錄服務訪問"安全模板設置所生成的安全事件。? 566:發生了一般對象操作。? 四、登錄事件ID? 528:用戶成功登錄到計算機。? 529:登錄失敗。試圖使用未知的用戶名或已知用戶名但錯誤密碼進行登錄。? 530:登錄失敗。試圖在允許的時間外登錄。? 531:登錄失敗。試圖使用禁用的帳戶登錄。? 532:登錄失敗。試圖使用已過期的帳戶登錄。? 533:登錄失敗。不允許登錄到指定計算機的用戶試圖登錄。? 534:登錄失敗。用戶試圖使用不允許的密碼類型登錄。? 535:登錄失敗。指定帳戶的密碼已過期。? 536:登錄失敗。Net Logon 服務沒有啟動。? 537:登錄失敗。由于其他原因登錄嘗試失敗。? 注意:? 在某些情況下,登錄失敗的原因可能是未知的。? 538:用戶的注銷過程已完成。? 539:登錄失敗。試圖登錄時,該帳戶已鎖定。? 540:用戶成功登錄到網絡。? 541:本地計算機與列出的對等客戶端身份(已建立安全關聯)之間的主要模式 Internet 密鑰交換 (IKE) 身份驗證已完成,或者快速模式已建立了數據頻道。? 542:數據頻道已終止。? 543:主要模式已終止。? 注意:? 如果安全關聯的時間限制(默認為 8 小時)過期、策略更改或對等終止,則會發生此情況。? 544:由于對等客戶端沒有提供有效的證書或者簽名無效,造成主要模式身份驗證失敗。? 545:由于 Kerberos 失敗或者密碼無效,造成主要模式身份驗證失敗。? 546:由于對等客戶端發送的建議無效,造成 IKE 安全關聯建立失敗。接收到的程序包包含無效數據。? 547:在 IKE 握手過程中,出現錯誤。? 548:登錄失敗。來自信任域的安全標識符 (SID) 與客戶端的帳戶域 SID 不匹配。? 549:登錄失敗。在林內進行身份驗證時,所有與不受信任的名稱空間相關的 SID 將被篩選出去。? 550:可以用來指示可能的拒絕服務 (DoS) 攻擊的通知消息。? 551:用戶已啟動注銷過程。? 552:用戶使用明確憑據成功登錄到作為其他用戶已登錄到的計算機。? 682:用戶已重新連接至已斷開的終端服務器會話。? 683:用戶還未注銷就斷開終端服務器會話。注意:當用戶通過網絡連接到終端服務器會話時,就會生成此事件。該事件出現在終端服務器上。? 五、對象訪問事件? 下面顯示了由"審核對象訪問"安全模板設置所生成的安全事件。? 560:訪問權限已授予現有的對象。? 562:指向對象的句柄已關閉。? 563:試圖打開一個對象并打算將其刪除。? 注意:? 當在 Createfile() 中指定了 FILE_Delete_ON_CLOSE 標記時,此事件可以用于文件系統。? 564:受保護對象已刪除。? 565:訪問權限已授予現有的對象類型。? 567:使用了與句柄關聯的權限。? 注意:? 創建句柄時,已授予其具體權限,如讀取、寫入等。使用句柄時,最多為每個使用的權限生成一個審核。? 568:試圖創建與正在審核的文件的硬鏈接。? 569:授權管理器中的資源管理器試圖創建客戶端上下文。? 570:客戶端試圖訪問對象。? 注意:? 在此對象上發生的每個嘗試操作都將生成一個事件。? 571:客戶端上下文由授權管理器應用程序刪除。? 572:Administrator Manager(管理員管理器)初始化此應用程序。? 772:證書管理器已拒絕掛起的證書申請。? 773:證書服務已收到重新提交的證書申請。? 774:證書服務已吊銷證書。? 775:證書服務已收到發行證書吊銷列表 (CRL) 的請求。? 776:證書服務已發行 CRL。? 777:已制定證書申請擴展。? 778:已更改多個證書申請屬性。? 779:證書服務已收到關機請求。? 780:已開始證書服務備份。? 781:已完成證書服務備份。? 782:已開始證書服務還原。? 783:已完成證書服務還原。? 784:證書服務已開始。? 785:證書服務已停止。? 786:已更改證書服務的安全權限。? 787:證書服務已檢索存檔密鑰。? 788:證書服務已將證書導入其數據庫中。? 789:證書服務審核篩選已更改。? 790:證書服務已收到證書申請。? 791:證書服務已批準證書申請并已頒發證書。? 792:證書服務已拒絕證書申請。? 793:證書服務將證書申請狀態設為掛起。? 794:證書服務的證書管理器設置已更改。? 795:證書服務中的配置項已更改。? 796:證書服務的屬性已更改。? 797:證書服務已將密鑰存檔。? 798:證書服務導入密鑰并將其存檔。? 799:證書服務已將證書頒發機構 (CA) 證書發行到 Microsoft Active Directory? 目錄服務。? 800:已從證書數據庫刪除一行或多行。? 801:角色分離已啟用。? 六、審核策略更改事件? 下面顯示了由"審核策略更改"安全模板設置所生成的安全事件。? 608:已分配用戶權限。? 609:用戶權限已刪除。? 610:與其他域的信任關系已創建。? 611:與其他域的信任關系已刪除。? 612:審核策略已更改。? 613:Internet 協議安全 (IPSec) 策略代理已啟動。? 614:IPSec 策略代理已禁用。? 615:IPSec 策略代理已更改。? 616:IPSec 策略代理遇到一個可能很嚴重的故障。? 617:Kerberos v5 策略已更改。? 618:加密數據恢復策略已更改。? 620:與其他域的信任關系已修改。? 621:已授予帳戶系統訪問權限。? 622:已刪除帳戶的系統訪問權限。? 623:按用戶設置審核策略。? 625:按用戶刷新審核策略。? 768:檢測到兩個林的名稱空間元素之間有沖突。? 注意:? 當兩個林的名稱空間元素重疊時,解析屬于其中一個名稱空間元素的名稱時,將發生歧義。這種重疊也稱為沖突。并非所有的參數對每一項類型都有效。例如,對于類型為 TopLevelName 的項,有些字段無效,如 DNS 名稱、NetBIOS 名稱和 SID。? 769:已添加受信任的林信息。? 注意:? 當更新林信任信息并且添加了一個或多個項時,將生成此事件消息。為每個添加、刪除或修改的項生成一個事件消息。如果在林信任信息的一個更新中添加、刪除或修改了多個項,則為生成的所有事件消息指派一個唯一標識符,稱為操作 ID。該標識符可以用來確定生成的多個事件消息是一個操作的結果。并非所有的參數對每一項類型都有效。例如,對于類型為 TopLevelName 的項,有些參數是無效的,如 DNS 名稱、NetBIOS 名稱和 SID。? 770:已刪除受信任的林信息。? 注意:? 請參見事件 769 的事件描述。? 771:已修改受信任的林信息。? 注意:? 請參見事件 769 的事件描述。? 805:事件日志服務讀取會話的安全日志配置。? 七、特權使用事件? 下面顯示了由"審核特權使用"安全模板設置所生成的安全事件。? 576:指定的特權已添加到用戶的訪問令牌中。? 注意:? 當用戶登錄時生成此事件。? 577:用戶試圖執行需要特權的系統服務操作。? 578:特權用于已經打開的受保護對象的句柄。? 八、詳細的跟蹤事件? 下面顯示了由"審核過程跟蹤"安全模板設置所生成的安全事件。? 592:已創建新進程。? 593:進程已退出。? 594:對象句柄已復制。? 595:已獲取對象的間接訪問權。? 596:數據保護主密鑰已備份。? 注意:? 主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統 (EFS)。每次新建主密鑰時都進行備份。(默認設置為 90 天。)通常由域控制器備份主密鑰。? 597:數據保護主密鑰已從恢復服務器恢復。? 598:審核過的數據已受保護。? 599:審核過的數據未受保護。? 600:已分配給進程主令牌。? 601:用戶試圖安裝服務。? 602:已創建計劃程序任務。? 九、審核系統事件? 下面顯示了由"審核系統事件"安全模板設置所生成的系統事件。? 512:Windows 正在啟動。? 513:Windows 正在關機。? 514:本地安全機制機構已加載身份驗證數據包。? 515:受信任的登錄過程已經在本地安全機構注冊。? 516:用來列隊審核消息的內部資源已經用完,從而導致部分審核數據丟失。? 517:審核日志已清除。? 518:安全帳戶管理器已加載通知數據包。?
? 519:進程正在使用無效的本地過程調用 (LPC) 端口,試圖偽裝客戶端并向客戶端地址空間答復、讀取或寫入。
轉載于:https://www.cnblogs.com/nxiao/articles/7440054.html
總結
- 上一篇: 田园综合体PPP项目规划方案(ppt)
- 下一篇: 自定义拍照时 拍照界面_在用透射电镜拍照