當前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

【Windows日志】记录系统事件的日志

發布時間：2023/12/3 综合教程 50 生活家

生活随笔收集整理的這篇文章主要介紹了【Windows日志】记录系统事件的日志小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

文章目錄

一、概要
二、Windows日志介紹
- 2.1 應用程序日志
- 2.2 系統日志
- 2.3 安全日志
三、查看與分析日志
四、常見事件ID
- 4.1 登錄事件
- - 4.1.1 4624登陸成功
  - 4.1.2 4625登陸失敗
- 4.2 特權使用
- 4.3 賬戶管理事件
- 4.4 賬戶登錄事件
- 5.2 事件ID匯總

一、概要

Windows主要有以下三類日志記錄系統事件：應用程序日志、系統日志和安全日志。

系統和應用程序日志存儲著故障排除信息，對于系統管理員更為有用。
安全日志記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證后對系統做了什么，對于 調查人員而言，更有幫助。

其他日志：

除了應用程序日志、系統日志和安全日志以外，一些特殊的系統服務配置可能也會產生其他日志文件，例如Powershell日志、WWW日志、FTP日志，DNS服務器日志等。

查看記錄系統事件的日志：

WIN+R打開運行框，運行 eventvwr.msc 命令，打開事件查看器

查看windows 日志，分析windows 日志時， 主要是查看安全日志，分析是否存通過暴力破解、橫向傳遞等安全事件，定位惡意IP地址、事件發生時間等。

二、Windows日志介紹

2.1 應用程序日志

應用程序日志包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那么我們可以從程序事件日志中找到相應的記錄，也許會有助于你解決問題。

默認位置：C:\Windows\System32\Winevt\Logs\Application.evtx

2.2 系統日志

系統日志記錄操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等

默認位置：C:\Windows\System32\Winevt\Logs\System.evtx

2.3 安全日志

安全日志記錄系統的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。安全日志也是調查取證中最常用到的日志。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統停止響應。

默認位置：C:\Windows\System32\Winevt\Logs\Security.evtx

三、查看與分析日志

事件ID是區分系統事件的一個重要字段，在事件查看器中可以通過事件ID篩選日志（本文將在第四章對事件ID進行總計梳理）

以4624（登陸成功）事件為例，看一下日志信息：

查看系統登錄日志時，重點關注以下字段信息。

事件ID：4624（登錄成功）和4625（登錄失敗）。
登錄類型：根據登錄類型分析登錄操作來源。
賬戶名：登錄操作時使用的賬戶名。
源網絡地址：登錄操作來源IP。
進程信息：登錄操作調用的進程。

四、常見事件ID

Windows安全事件最常用的事件ID：

事件ID	說明	備注
1074	計算機開機、關機、重啟的時間、原因、注釋	查看異常關機情況
1102	清理審計日志	發現篡改事件日志的用戶
4624	登錄成功	檢測異常的未經授權的登錄
4625	登陸失敗	檢測可能的暴力密碼攻擊
4632	成員已添加到啟用安全性的本地組	檢測濫用授權用戶行為
4634	注銷用戶
4648	試圖使用顯式憑據登錄
4657	注冊表值被修改
4663	嘗試訪問對象	檢測未經授權訪問文件和文件夾的行為。
4672	administrator超級管理員登錄（被賦予特權）
4698	計劃任務已創建
4699	計劃任務已刪除
4700	啟用計劃任務
4701	禁用計劃任務
4702	更新計劃任務
4720	創建用戶
4726	刪除用戶
4728	成員已添加到啟用安全性的全局組	確保添加安全組成員的資格信息
4740	鎖定用戶賬戶	檢測可能的暴力密碼攻擊
4756	成員已添加到啟用安全性的通用組
6005	表示日志服務已經啟動（表明系統正常啟動了）	查看系統啟動情況
6006	表示日志服務已經停止（如果在某天沒看到6006事件，說明出現關機異常事件了）	查看異常關機情況
6009	非正常關機（ctrl+alt+delete關機）

4.1 登錄事件

事件ID	說明
4624	登陸成功
4625	登錄失敗
4634	用戶注銷
4647	用戶啟動了注銷過程。
4648	用戶已成功使用顯式憑據登錄到計算機，而該用戶已以其他用戶身份登錄。
4779	用戶在未注銷的情況下斷開了終端服務器會話的連接。

4.1.1 4624登陸成功

登陸成功事件中將包含以下信息，其中需要特別關注賬戶名稱、登陸類型、進程名稱、源網絡地址：

已成功登錄帳戶。使用者:安全 ID:		SYSTEM帳戶名稱:		LAPTOP-TU29M93M$帳戶域:		WORKGROUP登錄 ID:		0x3E7登錄信息:登錄類型:		5受限制的管理員模式:	-虛擬帳戶:		否提升的令牌:		是模擬級別:		模擬新登錄:安全 ID:		SYSTEM帳戶名稱:		SYSTEM帳戶域:		NT AUTHORITY登錄 ID:		0x3E7鏈接的登錄 ID:		0x0網絡帳戶名稱:	-網絡帳戶域:	-登錄 GUID:		{00000000-0000-0000-0000-000000000000}進程信息:進程 ID:		0x4c8進程名稱:		C:\Windows\System32\services.exe網絡信息:工作站名稱:	-源網絡地址:	-源端口:		-詳細的身份驗證信息:登錄進程:		Advapi  身份驗證數據包:	Negotiate傳遞的服務:	-數據包名(僅限 NTLM):	-密鑰長度:		0

“使用者”字段指示本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。

“登錄類型”字段指示發生的登錄類型。最常見的類型是 2 (交互式)和 3 (網絡)。

“新登錄”字段指示新登錄是為哪個帳戶創建的，即已登錄的帳戶。

“網絡”字段指示遠程登錄請求源自哪里?！肮ぷ髡久Q”并非始終可用，并且在某些情況下可能會留空

“模擬級別”字段指示登錄會話中的進程可以模擬到的程度。

“身份驗證信息”字段提供有關此特定登錄請求的詳細信息。
- “登錄 GUID”是可用于將此事件與 KDC 事件關聯起來的唯一標識符。
-“傳遞的服務”指示哪些中間服務參與了此登錄請求。
-“數據包名”指示在 NTLM 協議中使用了哪些子協議。
-“密鑰長度”指示生成的會話密鑰的長度。如果沒有請求會話密鑰，則此字段將為 0。

在登錄信息中可以根據登陸類型來區分登錄者到底是從本地登錄，還是從網絡登錄，以及其它更多的登錄方式。因為了解了這些登錄方式，將有助于從事件日志中發現可疑的黑客行為，并能夠判斷其攻擊方式。以下列舉了常見的登陸類型：

登錄類型	登錄標題	說明	備注
2	交互	本地登錄	控制臺登錄； RUNAS（沒帶/Netonly參數）硬件遠程控制解決方案（如網絡 KVM 或遠程訪問/服務器中的無人照看卡） IIS 基本身份驗證（低于 IIS 6.0）
3	網絡	從網絡登錄到此計算機	例如連接共享文件或共享打印機
4	批處理	批處理登錄類型由批處理服務器使用，其中進程可以代表用戶執行，而無需用戶直接干預。
5	服務	服務控制管理器已啟動服務。	開機之后通常會伴隨許多服務類型的登錄
7	解除鎖定	已解鎖此工作站	睡眠模式之后的登錄
8	NetworkCleartext	從網絡登錄到此計算機的用戶。用戶的密碼以未經過哈希處理的形式傳遞給驗證包。內置的身份驗證將所有哈希憑證打包，然后再通過網絡發送它們。憑據不會以純文本（也稱為明文）形式遍歷網絡。	IIS 基本身份驗證（IIS 6.0 和更高版本）； Windows PowerShell（具有 CredSSP）
9	NewCredentials	調用方克隆了其當前密碼并為出站連接指定了新憑據。新登錄會話具有相同的本地標識，但對其他網絡連接使用不同的憑據。	當你使用帶/Netonly參數的RUNAS命令運行一個程序時（沒帶/Netonly參數的RUNAS命令被標記為2）
10	RemoteInteractive	使用終端服務或遠程桌面遠程登錄到此計算機的用戶。	遠程登錄
11	CachedInteractive	使用存儲在計算機上的本地網絡憑據登錄到此計算機的用戶。未聯系域控制器以驗證憑據。

更多關于4624登錄成功的詳細字段解析請參閱https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4624

4.1.2 4625登陸失敗

登陸失敗事件中將包含以下信息，其中需要特別關注賬戶名稱、登陸類型、失敗信息、調用方進程名稱、源網絡地址：

帳戶登錄失敗。使用者:安全 ID:		SYSTEM帳戶名:		LAPTOP-TU29M93M$帳戶域:		WORKGROUP登錄 ID:		0x3E7登錄類型:			2登錄失敗的帳戶:安全 ID:		NULL SID帳戶名:		JSSLRKS帳戶域:		LAPTOP-TU29M93M失敗信息:失敗原因:		未知用戶名或密碼錯誤。狀態:			0xC000006D子狀態:		0xC000006A進程信息:調用方進程 ID:	0x4e8調用方進程名:	C:\Windows\System32\svchost.exe網絡信息:工作站名:	LAPTOP-TU29M93M源網絡地址:	127.0.0.1源端口:		0詳細身份驗證信息:登錄進程:		User32 身份驗證數據包:	Negotiate傳遞服務:	-數據包名(僅限 NTLM):	-密鑰長度:		0

“使用者”字段指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。

“登錄類型”字段指明發生的登錄的種類。最常見的類型是 2 (交互式)和 3 (網絡)。

“進程信息”字段表明系統上的哪個帳戶和進程請求了登錄。

“網絡信息”字段指明遠程登錄請求來自哪里?！肮ぷ髡久辈⒎强偸强捎?#xff0c;而且在某些情況下可能會留為空白。

“身份驗證信息”字段提供關于此特定登錄請求的詳細信息。

-“傳遞服務”指明哪些直接服務參與了此登錄請求。

-“數據包名”指明在 NTLM 協議之間使用了哪些子協議。
-“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰，則此字段為 0。

4625登陸失敗事件的子狀態碼表示登陸失敗的原因，在此整理常見的子狀態碼：

子狀態碼	描述
0XC000005E	當前沒有可用于服務登錄請求的登錄服務器。
0xC0000064	用戶使用拼寫錯誤或錯誤用戶帳戶進行登錄
0xC000006A	用戶使用拼寫錯誤或錯誤密碼進行登陸
0XC000006D	原因可能是用戶名或身份驗證信息錯誤
0XC000006E	指示引用的用戶名和身份驗證信息有效，但某些用戶帳戶限制阻止了成功的身份驗證（例如時間限制）。
0xC000006F	用戶在授權時間之外登錄
0xC0000070	用戶從未經授權的工作站登錄
0xC0000071	用戶使用過期密碼登錄
0xC0000072	用戶登錄到管理員已禁用的帳戶
0XC00000DC	指示 Sam 服務器處于錯誤狀態，無法執行所需操作。
0XC0000133	DC 和其他計算機之間的時鐘完全不同步
0XC000015B	此計算機上尚未授予用戶請求的登錄類型（也稱為_登錄權限_）
0XC000018C	登錄請求失敗，因為主域和受信任域之間的信任關系失敗。
0XC0000192	嘗試登錄，但 Netlogon 服務未啟動。
0xC0000193	用戶使用過期帳戶登錄
0XC0000224	用戶需要在下次登錄時更改密碼
0XC0000225	很明顯，這是 Windows 中的錯誤而非風險
0xC0000234	帳戶已鎖定的用戶登錄
0XC00002EE	失敗原因：登錄時出錯
0XC0000413	登錄失敗：登錄的計算機受身份驗證防火墻保護。不允許指定的帳戶對計算機進行身份驗證。
0x0	狀態正常。

更多關于4625登錄失敗的詳細字段解析請參閱https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4625

4.2 特權使用

事件ID	說明
4672	給新登錄分配特權
4673	要求特權服務
4674	試圖對特權對象嘗試操作

4.3 賬戶管理事件

帳戶管理事件的示例包括：

創建、更改或刪除用戶帳戶或組。

用戶帳戶已重命名、禁用或啟用。

設置或更改密碼。

事件ID	說明
4720	已創建用戶帳戶。
4723	用戶密碼已更改。
4724	設置了用戶密碼。
4726	已刪除用戶帳戶。
4727	創建了一個全局組。
4728	已將成員添加到全局組。
4729	從全局組中刪除了一個成員。
4730	已刪除全局組。
4731	創建了一個新的本地組。
4732	一個成員已添加到本地組。
4733	從本地組中刪除了一個成員。
4734	已刪除本地組。
4735	本地組帳戶已更改。
4737	已更改全局組帳戶。
4738	用戶帳戶已更改。
4739	修改了域策略。
4740	用戶帳戶已自動鎖定。
4741	已創建計算機帳戶。
4742	計算機帳戶已更改。
4743	已刪除計算機帳戶。
4744	創建了禁用了安全性的本地安全組。注意：正式名稱中的SECURITY_DISABLED意味著無法使用此組在訪問檢查中授予權限
4745	已更改禁用安全性的本地安全組。
4746	已將一名成員添加到安全禁用的本地安全組。
4747	從安全禁用的本地安全組中刪除了一名成員。
4748	已刪除安全禁用的本地組。
4749	已創建安全禁用的全局組。
4750	已更改安全禁用的全局組。
4751	已將一名成員添加到安全禁用的全局組。
4752	成員已從安全禁用的全局組中刪除。
4753	已刪除安全禁用的全局組。
4754	已創建啟用安全性的通用組。
4755	已更改啟用安全的通用組。
4756	成員已添加到已啟用安全的通用組。
4757	成員已從啟用安全的通用組中刪除。
4758	已刪除已啟用安全性的通用組。
4759	已創建安全禁用的通用組。
4760	已更改安全禁用的通用組。
4761	成員已添加到安全禁用的通用組。
4762	成員已從安全禁用的通用組中刪除。
4763	已刪除安全禁用的通用組。
4764	組類型已更改。
4780	設置管理組成員的安全描述符。
685	設置管理組成員的安全描述符。注意：后臺線程每 60 分鐘在域控制器上搜索 (管理組的所有成員，例如域、企業和架構管理員) ，并在其上應用固定的安全描述符。記錄此事件。

4.4 賬戶登錄事件

在域控制器上對域用戶帳戶進行身份驗證時，將生成帳戶登錄事件，事件記錄在域控制器的安全日志中。
當本地用戶在本地計算機上進行身份驗證時，將生成登錄事件。事件記錄在本地安全日志中。

事件ID	說明
672	已成功頒發和驗證身份驗證服務 (AS) 票證。
673	已授予 (TGS) 票證的票證授予服務。
674	安全主體續訂了 AS 票證或 TGS 票證。
675	預身份驗證失敗。當用戶鍵入不正確的密碼時，密鑰分發中心 (KDC) 上生成此事件。
676	身份驗證票證請求失敗。此事件不會在 Windows XP 或 Windows Server 2003 系列中生成。
677	未授予 TGS 票證。此事件不會在 Windows XP 或 Windows Server 2003 系列中生成。
678	已成功映射到域帳戶的帳戶。
681	登錄失敗。嘗試了域帳戶登錄。此事件不會在 Windows XP 或 Windows Server 2003 系列中生成。
682	用戶已重新連接到斷開連接的終端服務器會話。
683	用戶在未注銷的情況下斷開終端服務器會話的連接。

5.2 事件ID匯總

（參考：https://blog.csdn.net/qq_45825991/article/details/115577680）：

EVENT_ID	           安全事件信息
1100	-----      事件記錄服務已關閉
1101	-----      審計事件已被運輸中斷。
1102	-----      審核日志已清除
1104	-----      安全日志現已滿
1105	-----      事件日志自動備份
1108	-----      事件日志記錄服務遇到錯誤
4608	-----      Windows正在啟動
4609	-----      Windows正在關閉
4610	-----      本地安全機構已加載身份驗證包
4611	-----      已向本地安全機構注冊了受信任的登錄進程
4612	-----      為審計消息排隊分配的內部資源已經用盡，導致一些審計丟失。
4614	-----      安全帳戶管理器已加載通知包。
4615	-----      LPC端口使用無效
4616	-----      系統時間已更改。
4618	-----      已發生受監視的安全事件模式
4621	-----      管理員從CrashOnAuditFail恢復了系統
4622	-----      本地安全機構已加載安全包。
4624	-----      帳戶已成功登錄
4625	-----      帳戶無法登錄
4626	-----      用戶/設備聲明信息
4627	-----      集團會員信息。
4634	-----      帳戶已注銷
4646	-----      IKE DoS防護模式已啟動
4647	-----      用戶啟動了注銷
4648	-----      使用顯式憑據嘗試登錄
4649	-----      檢測到重播攻擊
4650	-----      建立了IPsec主模式安全關聯
4651	-----      建立了IPsec主模式安全關聯
4652	-----      IPsec主模式協商失敗
4653	-----      IPsec主模式協商失敗
4654	-----      IPsec快速模式協商失敗
4655	-----      IPsec主模式安全關聯已結束
4656	-----      請求了對象的句柄
4657	-----      注冊表值已修改
4658	-----      對象的句柄已關閉
4659	-----      請求刪除對象的句柄
4660	-----      對象已刪除
4661	-----      請求了對象的句柄
4662	-----      對對象執行了操作
4663	-----      嘗試訪問對象
4664	-----      試圖創建一個硬鏈接
4665	-----      嘗試創建應用程序客戶端上下文。
4666	-----      應用程序嘗試了一個操作
4667	-----      應用程序客戶端上下文已刪除
4668	-----      應用程序已初始化
4670	-----      對象的權限已更改
4671	-----      應用程序試圖通過TBS訪問被阻止的序號
4672	-----      分配給新登錄的特權
4673	-----      特權服務被召喚
4674	-----      嘗試對特權對象執行操作
4675	-----      SID被過濾掉了
4688	-----      已經創建了一個新流程
4689	-----      一個過程已經退出
4690	-----      嘗試復制對象的句柄
4691	-----      請求間接訪問對象
4692	-----      嘗試備份數據保護主密鑰
4693	-----      嘗試恢復數據保護主密鑰
4694	-----      試圖保護可審計的受保護數據
4695	-----      嘗試不受保護的可審計受保護數據
4696	-----      主要令牌已分配給進程
4697	-----      系統中安裝了一項服務
4698	-----      已創建計劃任務
4699	-----      計劃任務已刪除
4700	-----      已啟用計劃任務
4701	-----      計劃任務已禁用
4702	-----      計劃任務已更新
4703	-----      令牌權已經調整
4704	-----      已分配用戶權限
4705	-----      用戶權限已被刪除
4706	-----      為域創建了新的信任
4707	-----      已刪除對域的信任
4709	-----      IPsec服務已啟動
4710	-----      IPsec服務已禁用
4711	-----      PAStore引擎（1％）
4712	-----      IPsec服務遇到了潛在的嚴重故障
4713	-----      Kerberos策略已更改
4714	-----      加密數據恢復策略已更改
4715	-----      對象的審核策略（SACL）已更改
4716	-----      可信域信息已被修改
4717	-----      系統安全訪問權限已授予帳戶
4718	-----      系統安全訪問已從帳戶中刪除
4719	-----      系統審核策略已更改
4720	-----      已創建用戶帳戶
4722	-----      用戶帳戶已啟用
4723	-----      嘗試更改帳戶的密碼
4724	-----      嘗試重置帳戶密碼
4725	-----      用戶帳戶已被禁用
4726	-----      用戶帳戶已刪除
4727	-----      已創建啟用安全性的全局組
4728	-----      已將成員添加到啟用安全性的全局組中
4729	-----      成員已從啟用安全性的全局組中刪除
4730	-----      已刪除啟用安全性的全局組
4731	-----      已創建啟用安全性的本地組
4732	-----      已將成員添加到啟用安全性的本地組
4733	-----      成員已從啟用安全性的本地組中刪除
4734	-----      已刪除已啟用安全性的本地組
4735	-----      已啟用安全性的本地組已更改
4737	-----      啟用安全性的全局組已更改
4738	-----      用戶帳戶已更改
4739	-----      域策略已更改
4740	-----      用戶帳戶已被鎖定
4741	-----      已創建計算機帳戶
4742	-----      計算機帳戶已更改
4743	-----      計算機帳戶已刪除
4744	-----      已創建禁用安全性的本地組
4745	-----      已禁用安全性的本地組已更改
4746	-----      已將成員添加到已禁用安全性的本地組
4747	-----      已從安全性已禁用的本地組中刪除成員
4748	-----      已刪除安全性已禁用的本地組
4749	-----      已創建一個禁用安全性的全局組
4750	-----      已禁用安全性的全局組已更改
4751	-----      已將成員添加到已禁用安全性的全局組中
4752	-----      成員已從禁用安全性的全局組中刪除
4753	-----      已刪除安全性已禁用的全局組
4754	-----      已創建啟用安全性的通用組
4755	-----      啟用安全性的通用組已更改
4756	-----      已將成員添加到啟用安全性的通用組中
4757	-----      成員已從啟用安全性的通用組中刪除
4758	-----      已刪除啟用安全性的通用組
4759	-----      創建了一個安全禁用的通用組
4760	-----      安全性已禁用的通用組已更改
4761	-----      已將成員添加到已禁用安全性的通用組中
4762	-----      成員已從禁用安全性的通用組中刪除
4763	-----      已刪除安全性已禁用的通用組
4764	-----      組類型已更改
4765	-----      SID歷史記錄已添加到帳戶中
4766	-----      嘗試將SID歷史記錄添加到帳戶失敗
4767	-----      用戶帳戶已解鎖
4768	-----      請求了Kerberos身份驗證票證（TGT）
4769	-----      請求了Kerberos服務票證
4770	-----      更新了Kerberos服務票證
4771	-----      Kerberos預身份驗證失敗
4772	-----      Kerberos身份驗證票證請求失敗
4773	-----      Kerberos服務票證請求失敗
4774	-----      已映射帳戶以進行登錄
4775	-----      無法映射帳戶以進行登錄
4776	-----      域控制器嘗試驗證帳戶的憑據
4777	-----      域控制器無法驗證帳戶的憑據
4778	-----      會話重新連接到Window Station
4779	-----      會話已與Window   Station斷開連接
4780	-----      ACL是在作為管理員組成員的帳戶上設置的
4781	-----      帳戶名稱已更改
4782	-----      密碼哈希帳戶被訪問
4783	-----      創建了一個基本應用程序組
4784	-----      基本應用程序組已更改
4785	-----      成員已添加到基本應用程序組
4786	-----      成員已從基本應用程序組中刪除
4787	-----      非成員已添加到基本應用程序組
4788	-----      從基本應用程序組中刪除了非成員。
4789	-----      基本應用程序組已刪除
4790	-----      已創建LDAP查詢組
4791	-----      基本應用程序組已更改
4792	-----      LDAP查詢組已刪除
4793	-----      密碼策略檢查API已被調用
4794	-----      嘗試設置目錄服務還原模式管理員密碼
4797	-----      試圖查詢帳戶是否存在空白密碼
4798	-----      枚舉了用戶的本地組成員身份。
4799	-----      已枚舉啟用安全性的本地組成員身份
4800	-----      工作站已鎖定
4801	-----      工作站已解鎖
4802	-----      屏幕保護程序被調用
4803	-----      屏幕保護程序被解雇了
4816	-----      RPC在解密傳入消息時檢測到完整性違規
4817	-----      對象的審核設置已更改。
4818	-----      建議的中央訪問策略不授予與當前中央訪問策略相同的訪問權限
4819	-----      計算機上的中央訪問策略已更改
4820	-----      Kerberos票證授予票證（TGT）被拒絕，因為該設備不符合訪問控制限制
4821	-----      Kerberos服務票證被拒絕，因為用戶，設備或兩者都不符合訪問控制限制
4822	-----      NTLM身份驗證失敗，因為該帳戶是受保護用戶組的成員
4823	-----      NTLM身份驗證失敗，因為需要訪問控制限制
4824	-----      使用DES或RC4進行Kerberos預身份驗證失敗，因為該帳戶是受保護用戶組的成員
4825	-----      用戶被拒絕訪問遠程桌面。默認情況下，僅當用戶是RemoteDesktop Users組或Administrators組的成員時才允許用戶進行連接
4826	-----      加載引導配置數據
4830	-----      SID歷史記錄已從帳戶中刪除
4864	-----      檢測到名稱空間沖突
4865	-----      添加了受信任的林信息條目
4866	-----      已刪除受信任的林信息條目
4867	-----      已修改受信任的林信息條目
4868	-----      證書管理器拒絕了掛起的證書請求
4869	-----      證書服務收到重新提交的證書請求
4870	-----      證書服務撤銷了證書
4871	-----      證書服務收到發布證書吊銷列表（CRL）的請求
4872	-----      證書服務發布證書吊銷列表（CRL）
4873	-----      證書申請延期已更改
4874	-----      一個或多個證書請求屬性已更改。
4875	-----      證書服務收到關閉請求
4876	-----      證書服務備份已啟動
4877	-----      證書服務備份已完成
4878	-----      證書服務還原已開始
4879	-----      證書服務恢復已完成
4880	-----      證書服務已啟動
4881	-----      證書服務已停止
4882	-----      證書服務的安全權限已更改
4883	-----      證書服務檢索到存檔密鑰
4884	-----      證書服務將證書導入其數據庫
4885	-----      證書服務的審核篩選器已更改
4886	-----      證書服務收到證書請求
4887	-----      證書服務批準了證書請求并頒發了證書
4888	-----      證書服務拒絕了證書請求
4889	-----      證書服務將證書請求的狀態設置為掛起
4890	-----      證書服務的證書管理器設置已更改。
4891	-----      證書服務中的配置條目已更改
4892	-----      證書服務的屬性已更改
4893	-----      證書服務存檔密鑰
4894	-----      證書服務導入并存檔了一個密鑰
4895	-----      證書服務將CA證書發布到Active Directory域服務
4896	-----      已從證書數據庫中刪除一行或多行
4897	-----      啟用角色分離
4898	-----      證書服務加載了一個模板
4899	-----      證書服務模板已更新
4900	-----      證書服務模板安全性已更新
4902	-----      已創建每用戶審核策略表
4904	-----      嘗試注冊安全事件源
4905	-----      嘗試取消注冊安全事件源
4906	-----      CrashOnAuditFail值已更改
4907	-----      對象的審核設置已更改
4908	-----      特殊組登錄表已修改
4909	-----      TBS的本地策略設置已更改
4910	-----      TBS的組策略設置已更改
4911	-----      對象的資源屬性已更改
4912	-----      每用戶審核策略已更改
4913	-----      對象的中央訪問策略已更改
4928	-----      建立了Active  Directory副本源命名上下文
4929	-----      已刪除Active  Directory副本源命名上下文
4930	-----      已修改Active  Directory副本源命名上下文
4931	-----      已修改Active  Directory副本目標命名上下文
4932	-----      已開始同步Active  Directory命名上下文的副本
4933	-----      Active  Directory命名上下文的副本的同步已結束
4934	-----      已復制Active  Directory對象的屬性
4935	-----      復制失敗開始
4936	-----      復制失敗結束
4937	-----      從副本中刪除了一個延遲對象
4944	-----      Windows防火墻啟動時，以下策略處于活動狀態
4945	-----      Windows防火墻啟動時列出了規則
4946	-----      已對Windows防火墻例外列表進行了更改。增加了一條規則
4947	-----      已對Windows防火墻例外列表進行了更改。規則被修改了
4948	-----      已對Windows防火墻例外列表進行了更改。規則已刪除
4949	-----      Windows防火墻設置已恢復為默認值
4950	-----      Windows防火墻設置已更改
4951	-----      規則已被忽略，因為Windows防火墻無法識別其主要版本號
4952	-----      已忽略規則的某些部分，因為Windows防火墻無法識別其次要版本號
4953	-----      Windows防火墻已忽略規則，因為它無法解析規則
4954	-----      Windows防火墻組策略設置已更改。已應用新設置
4956	-----      Windows防火墻已更改活動配置文件
4957	-----      Windows防火墻未應用以下規則
4958	-----      Windows防火墻未應用以下規則，因為該規則引用了此計算機上未配置的項目
4960	-----      IPsec丟棄了未通過完整性檢查的入站數據包
4961	-----      IPsec丟棄了重放檢查失敗的入站數據包
4962	-----      IPsec丟棄了重放檢查失敗的入站數據包
4963	-----      IPsec丟棄了應該受到保護的入站明文數據包
4964	-----      特殊組已分配給新登錄
4965	-----      IPsec從遠程計算機收到一個包含不正確的安全參數索引（SPI）的數據包。
4976	-----      在主模式協商期間，IPsec收到無效的協商數據包。
4977	-----      在快速模式協商期間，IPsec收到無效的協商數據包。
4978	-----      在擴展模式協商期間，IPsec收到無效的協商數據包。
4979	-----      建立了IPsec主模式和擴展模式安全關聯。
4980	-----      建立了IPsec主模式和擴展模式安全關聯
4981	-----      建立了IPsec主模式和擴展模式安全關聯
4982	-----      建立了IPsec主模式和擴展模式安全關聯
4983	-----      IPsec擴展模式協商失敗
4984	-----      IPsec擴展模式協商失敗
4985	-----      交易狀態已發生變化
5024	-----      Windows防火墻服務已成功啟動
5025	-----      Windows防火墻服務已停止
5027	-----      Windows防火墻服務無法從本地存儲中檢索安全策略
5028	-----      Windows防火墻服務無法解析新的安全策略。
5029	-----      Windows防火墻服務無法初始化驅動程序
5030	-----      Windows防火墻服務無法啟動
5031	-----      Windows防火墻服務阻止應用程序接受網絡上的傳入連接。
5032	-----      Windows防火墻無法通知用戶它阻止應用程序接受網絡上的傳入連接
5033	-----      Windows防火墻驅動程序已成功啟動
5034	-----      Windows防火墻驅動程序已停止
5035	-----      Windows防火墻驅動程序無法啟動
5037	-----      Windows防火墻驅動程序檢測到嚴重的運行時錯 終止
5038	-----      代碼完整性確定文件的圖像哈希無效
5039	-----      注冊表項已虛擬化。
5040	-----      已對IPsec設置進行了更改。添加了身份驗證集。
5041	-----      已對IPsec設置進行了更改。身份驗證集已修改
5042	-----      已對IPsec設置進行了更改。身份驗證集已刪除
5043	-----      已對IPsec設置進行了更改。添加了連接安全規則
5044	-----      已對IPsec設置進行了更改。連接安全規則已修改
5045	-----      已對IPsec設置進行了更改。連接安全規則已刪除
5046	-----      已對IPsec設置進行了更改。添加了加密集
5047	-----      已對IPsec設置進行了更改。加密集已被修改
5048	-----      已對IPsec設置進行了更改。加密集已刪除
5049	-----      IPsec安全關聯已刪除
5050	-----      嘗試使用對INetFwProfile.FirewallEnabled的調用以編程方式禁用Windows防火墻（FALSE
5051	-----      文件已虛擬化
5056	-----      進行了密碼自檢
5057	-----      加密原語操作失敗
5058	-----      密鑰文件操作
5059	-----      密鑰遷移操作
5060	-----      驗證操作失敗
5061	-----      加密操作
5062	-----      進行了內核模式加密自檢
5063	-----      嘗試了加密提供程序操作
5064	-----      嘗試了加密上下文操作
5065	-----      嘗試了加密上下文修改
5066	-----      嘗試了加密功能操作
5067	-----      嘗試了加密功能修改
5068	-----      嘗試了加密函數提供程序操作
5069	-----      嘗試了加密函數屬性操作
5070	-----      嘗試了加密函數屬性操作
5071	-----      Microsoft密鑰分發服務拒絕密鑰訪問
5120	-----      OCSP響應程序服務已啟動
5121	-----      OCSP響應程序服務已停止
5122	-----      OCSP響應程序服務中的配置條目已更改
5123	-----      OCSP響應程序服務中的配置條目已更改
5124	-----      在OCSP  Responder Service上更新了安全設置
5125	-----      請求已提交給OCSP  Responder Service
5126	-----      簽名證書由OCSP  Responder Service自動更新
5127	-----      OCSP吊銷提供商成功更新了吊銷信息
5136	-----      目錄服務對象已修改
5137	-----      已創建目錄服務對象
5138	-----      目錄服務對象已取消刪除
5139	-----      已移動目錄服務對象
5140	-----      訪問了網絡共享對象
5141	-----      目錄服務對象已刪除
5142	-----      添加了網絡共享對象。
5143	-----      網絡共享對象已被修改
5144	-----      網絡共享對象已刪除。
5145	-----      檢查網絡共享對象以查看是否可以向客戶端授予所需的訪問權限
5146	-----      Windows篩選平臺已阻止數據包
5147	-----      限制性更強的Windows篩選平臺篩選器阻止了數據包
5148	-----      Windows過濾平臺檢測到DoS攻擊并進入防御模式; 與此攻擊相關的數據包將被丟棄。
5149	-----      DoS攻擊已經消退，正常處理正在恢復。
5150	-----      Windows篩選平臺已阻止數據包。
5151	-----      限制性更強的Windows篩選平臺篩選器阻止了數據包。
5152	-----      Windows篩選平臺阻止了數據包
5153	-----      限制性更強的Windows篩選平臺篩選器阻止了數據包
5154	-----      Windows過濾平臺允許應用程序或服務在端口上偵聽傳入連接
5155	-----      Windows篩選平臺已阻止應用程序或服務偵聽端口上的傳入連接
5156	-----      Windows篩選平臺允許連接
5157	-----      Windows篩選平臺已阻止連接
5158	-----      Windows篩選平臺允許綁定到本地端口
5159	-----      Windows篩選平臺已阻止綁定到本地端口
5168	-----      SMB  / SMB2的Spn檢查失敗。
5169	-----      目錄服務對象已修改
5170	-----      在后臺清理任務期間修改了目錄服務對象
5376	-----      已備份憑據管理器憑據
5377	-----      Credential  Manager憑據已從備份還原
5378	-----      策略不允許請求的憑據委派
5440	-----      Windows篩選平臺基本篩選引擎啟動時出現以下callout
5441	-----      Windows篩選平臺基本篩選引擎啟動時存在以下篩選器
5442	-----      Windows篩選平臺基本篩選引擎啟動時，存在以下提供程序
5443	-----      Windows篩選平臺基本篩選引擎啟動時，存在以下提供程序上下文
5444	-----      Windows篩選平臺基本篩選引擎啟動時，存在以下子層
5446	-----      Windows篩選平臺標注已更改
5447	-----      Windows篩選平臺篩選器已更改
5448	-----      Windows篩選平臺提供程序已更改
5449	-----      Windows篩選平臺提供程序上下文已更改
5450	-----      Windows篩選平臺子層已更改
5451	-----      建立了IPsec快速模式安全關聯
5452	-----      IPsec快速模式安全關聯已結束
5453	-----      與遠程計算機的IPsec協商失敗，因為未啟動IKE和AuthIP  IPsec密鑰模塊（IKEEXT）服務
5456	-----      PAStore引擎在計算機上應用了Active  Directory存儲IPsec策略
5457	-----      PAStore引擎無法在計算機上應用Active  Directory存儲IPsec策略
5458	-----      PAStore引擎在計算機上應用了Active  Directory存儲IPsec策略的本地緩存副本
5459	-----      PAStore引擎無法在計算機上應用Active  Directory存儲IPsec策略的本地緩存副本
5460	-----      PAStore引擎在計算機上應用了本地注冊表存儲IPsec策略
5461	-----      PAStore引擎無法在計算機上應用本地注冊表存儲IPsec策略
5462	-----      PAStore引擎無法在計算機上應用某些活動IPsec策略規則
5463	-----      PAStore引擎輪詢活動IPsec策略的更改并檢測不到任何更改
5464	-----      PAStore引擎輪詢活動IPsec策略的更改，檢測到更改并將其應用于IPsec服務
5465	-----      PAStore Engine收到強制重新加載IPsec策略的控件并成功處理控件
5466	-----      PAStore引擎輪詢Active  Directory IPsec策略的更改，確定無法訪問Active Directory，并將使用Active Directory
IPsec策略的緩存副本
5467	-----      PAStore引擎輪詢Active Directory IPsec策略的更改，確定可以訪問Active Directory，并且未找到對策略的更改
5468	-----      PAStore引擎輪詢Active Directory IPsec策略的更改，確定可以訪問Active Directory，找到策略更改并應用這些更改
5471	-----      PAStore引擎在計算機上加載了本地存儲IPsec策略
5472	-----      PAStore引擎無法在計算機上加載本地存儲IPsec策略
5473	-----      PAStore引擎在計算機上加載了目錄存儲IPsec策略
5474	-----      PAStore引擎無法在計算機上加載目錄存儲IPsec策略
5477	-----      PAStore引擎無法添加快速模式過濾器
5478	-----      IPsec服務已成功啟動
5479	-----      IPsec服務已成功關閉
5480	-----      IPsec服務無法獲取計算機上的完整網絡接口列表
5483	-----      IPsec服務無法初始化RPC服務器。無法啟動IPsec服務
5484	-----      IPsec服務遇到嚴重故障并已關閉
5485	-----      IPsec服務無法在網絡接口的即插即用事件上處理某些IPsec篩選器
5632	-----      已請求對無線網絡進行身份驗證
5633	-----      已請求對有線網絡進行身份驗證
5712	-----      嘗試了遠程過程調用（RPC）
5888	-----      COM +目錄中的對象已被修改
5889	-----      從COM +目錄中刪除了一個對象
5890	-----      一個對象已添加到COM +目錄中
6144	-----      組策略對象中的安全策略已成功應用
6145	-----      處理組策略對象中的安全策略時發生一個或多個錯誤
6272	-----      網絡策略服務器授予用戶訪問權限
6273	-----      網絡策略服務器拒絕訪問用戶
6274	-----      網絡策略服務器放棄了對用戶的請求
6275	-----      網絡策略服務器放棄了用戶的記帳請求
6276	-----      網絡策略服務器隔離了用戶
6277	-----      網絡策略服務器授予用戶訪問權限，但由于主機未滿足定義的健康策略而將其置于試用期
6278	-----      網絡策略服務器授予用戶完全訪問權限，因為主機符合定義的健康策略
6279	-----      由于重復失敗的身份驗證嘗試，網絡策略服務器鎖定了用戶帳戶
6280	-----      網絡策略服務器解鎖了用戶帳戶
6281	-----      代碼完整性確定圖像文件的頁面哈希值無效...
6400	-----      BranchCache：在發現內容可用性時收到格式錯誤的響應。
6401	-----      BranchCache：從對等方收到無效數據。數據被丟棄。
6402	-----      BranchCache：提供數據的托管緩存的消息格式不正確。
6403	-----      BranchCache：托管緩存發送了對客戶端消息的錯誤格式化響應以提供數據。
6404	-----      BranchCache：無法使用配置的SSL證書對托管緩存進行身份驗證。
6405	-----      BranchCache：發生了事件ID％1的％2個實例。
6406	-----      ％1注冊到Windows防火墻以控制以下過濾：
6408	-----      已注冊的產品％1失敗，Windows防火墻現在正在控制％2的過濾。
6409	-----      BranchCache：無法解析服務連接點對象
6410	-----      代碼完整性確定文件不滿足加載到進程中的安全性要求。這可能是由于使用共享部分或其他問題
6416	-----      系統識別出新的外部設備。
6417	-----      FIPS模式加密自檢成功
6418	-----      FIPS模式加密自檢失敗
6419	-----      發出了禁用設備的請求
6420	-----      設備已禁用
6421	-----      已發出請求以啟用設備
6422	-----      設備已啟用
6423	-----      系統策略禁止安裝此設備
6424	-----      在事先被政策禁止之后，允許安裝此設備
8191	-----      最高系統定義的審計消息值

總結

以上是生活随笔為你收集整理的【Windows日志】记录系统事件的日志的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：【互联网运营实战手册3】运营需要熟练运
下一篇：报道称 BioWare 内部不断推迟《龙