无忧技术网
无忧技术网 - RSS订阅 

Windows 事件 ID 对照表


作者:[佚名] - 发布:2011-12-7 11:27:51 - 来源:无忧技术网
参考地址: http://technet.microsoft.com/zh-cn/library/cc779526(WS.10).aspx
帐户登录事件 描述
672 已成功发布并确认验证服务 (AS) 票证。
673 已授予票证授予服务 (TGS) 票证。
674 安全主体续订 AS 票证或 TGS 票证。
675 预身份验证失败。当用户键入不正确的密码时,将在密钥发行中心 (KDC) 上生成该事件。
676 身份验证票证请求失败。在 Windows XP 或 Windows Server 2003 家族产品中不会生成该事件。
677 不授予 TGS 票证。在 Windows XP 或 Windows Server 2003 家族产品中不会生成该事件。
678 帐户已成功映射到域帐户。
681 登录失败。已尝试使用域帐户登录。在 Windows XP 或 Windows Server 2003 家族产品中不会生成该事件。
682 用户已经重新连接到一个断开的终端服务器会话。
683 用户在没有注销的情况下与某个终端服务器会话断开连接。
帐户管理事件 描述
624 已创建用户帐户。
627 已更改用户密码。
628 已设置用户密码。
630 已删除用户帐户。
631 已创建全局组。
632 已将成员添加到全局组。
633 已从全局组删除成员。
634 已删除全局组。
635 已创建新的本地组。
636 已将成员添加到本地组。
637 已从本地组删除成员。
638 已删除本地组。
639 已更改本地组帐户。
641 已更改全局组帐户。
642 已更改用户帐户。
643 已修改域策略。
644 已自动锁定用户帐户。
645 已创建计算机帐户。
646 已更改计算机帐户。
647 已删除计算机帐户。
648 已创建禁用安全的本地安全组。 注意
  • 正式名称中的 SECURITY_DISABLED 意味着不能使用该组在访问权限检查中进行授权。
649 已更改禁用安全的本地安全组。
650 已将成员添加到禁用安全的本地安全组。
651 已经从禁用安全的本地安全组中删除成员。
652 已删除禁用安全的本地组。
653 已创建禁用安全的全局组。
654 已更改禁用安全的全局组。
655 已将成员添加到禁用安全的全局组。
656 已从禁用安全的全局组中删除成员。
657 已删除禁用安全的全局组。
658 已创建启用安全的通用组。
659 已更改启用安全的通用组。
660 已将成员添加到启用安全的通用组。
661 已从启用安全的通用组中删除成员。
662 已删除启用安全的通用组。
663 已创建禁用安全的通用组。
664 已更改禁用安全的通用组。
665 已将成员添加到禁用安全的通用组。
666 已从禁用安全的通用组中删除成员。
667 已删除禁用安全的通用组。
668 已更改组类型。
684 设置管理组中成员的安全描述符。 注意
  • 注意:域控制器上的一个后台线程每 60 分钟搜索一次管理组中的所有成员(例如域、企业和计划管理员)并对这些成员应用固定的安全描述符。已记录该事件。
685 已更改帐户名称。
目录服务访问事件 描述
566 发生一般对象操作。
登录事件 描述
528 用户已成功登录计算机。有关登录类型的相关信息,请参阅下面的登录类型表。
529 登录失败。尝试使用未知用户名或密码无效的已知用户名登录。
530 登录失败。用户帐户尝试在允许的登录时间之外登录。
531 登录失败。尝试使用禁用的帐户登录。
532 登录失败。尝试使用过期的帐户登录。
533 登录失败。尝试使用被禁止登录该计算机的用户帐户登录。
534 登录失败。用户尝试使用被禁止的登录类型登录。
535 登录失败。指定的帐户密码已过期。
536 登录失败。未激活网络登录服务。
537 登录失败。由于其他原因致使尝试登录失败。 注意
  • 在某些情况下,可能无法知道登录失败的原因。
538 完成某个用户的注销过程。
539 登录失败。尝试登录时已锁定该帐户。
540 用户已成功登录到网络。
541 主模式 Internet 密钥交换 (IKE) 验证已在本地计算机和列出的对等客户端身份之间完成(建立安全联系),或者快速模式已建立一个数据信道。
542 已终止数据信道。
543 主模式已终止。 注意
  • 在安全关联过期(默认为 8 个小时)、策略更改或对等客户端终止时可能出现此错误。
544 主模式身份验证失败是由于对等客户端没有提供有效证书,或者是没有经过验证的签名。
545 主模式身份验证失败是由于 Kerberos 失败或密码无效。
546 由于对等客户端发送无效的建议,因此未能建立 IKE 安全关联。接收到的数据包含有无效数据。
547 IKE 握手期间出现故障。
548 登录失败。受信任域中的安全 ID (SID) 与客户端的帐户域 SID 不匹配。
549 登录失败。在林中进行身份验证期间,所有与不受信任的命名空间相对应的 SID 都被筛选掉。
550 指示可能发生的拒绝服务攻击的通知消息。
551 用户启动注销过程。
552 当用户已经以不同用户身份登录时,可使用显式凭据成功登录到计算机。
682 用户已经重新连接到一个断开的终端服务器会话。
683 用户在没有注销的情况下与某个终端服务器会话断开连接。 注意
  • 当用户通过网络连接到终端服务器会话时,将产生该事件。该事件出现在终端服务器上。
记录 528 事件时,同时在事件日志中列出登录类型。下表描述了每种登录类型。
登录类型 登录标题 描述
2 交互 用户已登录到该计算机。
3 网络 用户或计算机从网络登录到该计算机。
4 批处理 批服务器使用批登录类型,对于这种登录类型,服务器代表用户执行登录过程,而无需用户直接参与。
5 服务 通过服务控制管理器启动服务。
7 解锁 该工作站已解锁。
8 网络明文 用户从网络登录到该计算机。用户密码以解哈希运算形式传递到身份验证包中。在通过网络发送包之前,内置的身份验证功能对所有哈希凭据进行打包。这些凭据不以纯文本(也叫明文)方式在网络中传输。
9 新凭据 呼叫方克隆当前令牌并指定出站连接的新凭据。新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。
10 远程交互式登录 用户使用终端服务或远程桌面远程登录该计算机。
11 缓存交互式登录 用户使用存储在本地计算机上的网络凭据登录该计算机。无法连接域控制器验证凭据。
对象访问事件 描述
560 允许访问一个已存在的对象。
562 已关闭对象句柄。
563 尝试打开准备删除的对象。 注意
  • 当在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 标记时,文件系统将使用它。
564 已删除受保护的对象。
565 允许访问一个已存在的对象类型。
567 已使用与句柄相关的权限。 注意
  • 已创建具有某些权限的句柄(读取、写入等等)。当使用句柄时,为使用的每个权限最多生成一个审核。
568 尝试创建正在被审核的文件的硬链接。
569 “授权管理器”中的资源管理器尝试创建一个客户端上下文。
570 客户端尝试访问一个对象。 注意
  • 将为在对象上尝试的每个操作生成一个事件。
571 客户端上下文已被“授权管理器”应用程序删除。
572 管理员管理器初始化该应用程序。
772 证书管理器已拒绝挂起的证书请求。
773 “证书服务”收到重新提交的证书请求。
774 “证书服务”已吊销证书。
775 “证书服务”收到发行证书吊销列表 (CRL) 的请求。
776 “证书服务”已发行证书吊销列表 (CRL)。
777 已生成证书请求扩展。
778 已更改一个或多个证书请求属性。
779 “证书服务”已接收到关闭请求。
780 “证书服务”备份已经开始。
781 “证书服务”备份已完成。
782 “证书服务”还原已开始。
783 “证书服务”还原已完成。
784 “证书服务”已开始。
785 “证书服务”已停止。
786 “证书服务”安全权限已更改。
787 “证书服务”检索到存档密钥。
788 “证书服务”已将证书导入它的数据库。
789 “证书服务”审核筛选器已更改。
790 “证书服务”已接收到证书请求。
791 “证书服务”已批准证书请求并发行证书。
792 “证书服务”已拒绝证书请求。
793 “证书服务”将证书请求状态设置为搁置。
794 “证书服务”的证书管理器设置已更改。
795 “证书服务”中的配置项已更改。
796 “证书服务”的某项属性已更改。
797 “证书服务”已存档密钥。
798 “证书服务”已导入并存档密钥。
799 “证书服务”已将 CA 证书发行到 Active Directory。
800 已经从证书数据库中删除一行或多行。
801 已启用角色分离。
策略更改事件 描述
608 已分配用户权利。
609 已删除用户权利。
610 已创建与其他域的信任关系。
611 已删除与其他域的信任关系。
612 已更改审核策略。
613 已启用 Internet 协议安全性 (IPSec) 策略代理。
614 已禁用 IPSec 策略代理。
615 已更改 IPSec 策略代理。
616 IPSec 策略代理可能遇到严重失败。
617 已更改 Kerberos 策略。
618 已更改“加密数据恢复”策略。
620 已修改与另一个域的信任关系。
621 已授予某个帐户系统访问权限。
622 已删除某个帐户的系统访问权限。
623 为用户设置每个用户审核策略。 有关每用户选择性审核的信息,请参阅Per-user selective auditing
625 已刷新每用户审核策略。
768 已检测到一个林中的名称空间元素与另一个林中的名称空间元素之间存在冲突。 注意
  • 当林中的名称空间元素与另一个林中的名称空间元素重叠时,可能会导致无法明确解析属于名称空间元素之一的名称。这种重叠也称为冲突。对每一个条目类型来讲,并非所有的参数都有效。例如,DNS 名称、NetBIOS 名称和 SID 这类字段对于“TopLevelName”类型的条目无效。
769 已添加受信任的林信息。 注意
  • 更新林信任信息并添加一个或多个条目时,将会生成此事件消息。每次添加、删除或修改条目时,都会生成一则事件消息。如果在一次林信任信息的更新时添加、删除或修改多个条目,则生成的所有事件消息都将共用一个名为操作 ID 的唯一标识符。使用该标识符,可以确定生成的多则事件消息是否为单次操作的结果。对每一个条目类型来讲,并非所有的参数都有效。例如,DNS 名称、NetBIOS 名称和 SID 这类参数对于“TopLevelName”类型的条目无效。
770 已删除受信任的林信息。 注意
  • 请参阅事件 769 的注释。
771 已修改受信任的林信息。 注意
  • 请参阅事件 769 的注释。
805 该事件日志服务读取会话的安全日志配置。
特权使用事件 描述
576 指定的特权被添加到用户的访问令牌中。 注意
  • 当用户登录时,将产生该事件。
577 用户尝试执行一个享受特权的系统服务操作。
578 特权被用在已经打开的受保护对象的句柄上。
过程跟踪事件 事件描述
592 已创建一个新的进程。
593 进程已退出。
594 已复制对象的句柄。
595 已获得对象的间接访问。
596 已备份数据保护主密钥。 注意
  • 主密钥由 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS) 使用。每当创建新的主密钥时都对其进行备份。(默认设置为 90 天。)密钥通常备份到域控制器。
597 从恢复服务器恢复数据保护主密钥。
598 已保护可审核的数据。
599 可审核的数据未受保护。
600 向主令牌指派一个进程。
601 用户尝试安装服务。
602 创建一个计划程序任务。
系统事件消息 描述
512 正在启动 Windows。
513 正在关闭 Windows。
514 通过“本地安全机构”装载身份验证包。
515 受信任的登录进程已注册“本地安全机构”。
516 为安全事件消息队列分配的内部资源已用尽,将导致某些安全事件信息的丢失。
517 审核日志已被清除。
518 通知程序包已通过“安全帐户管理器”加载。
519 进程使用一个无效的本地过程调用 (LPC) 端口尝试模拟客户端并答复,或者读取或写入一个客户地址空间。
520 系统时间已被更改。 注意
  • 正常情况下,该审核出现两次。
参考地址: http://technet.microsoft.com/zh-cn/library/cc779526(WS.10).aspx
责任编辑:liqwei
打印本页】【关闭本页】【返回列表
·上一篇:让Windows XP自动登录的两种方法
·下一篇:没有了!
 文章评分
  • current rating
-5 -4 -3 -2 -1 0 +1 +2 +3 +4 +5
 相关文章
·[协议规范]国内域名 whois 注册信息含义对照表 (2014-10-15)
·[协议规范]国际域名 whois 注册信息含义对照表 (2014-10-15)
·[软件信息]Windows Server 8 包含 300 多项新特性,附下载地址 (2011-09-16)
·[软件信息]Windows 8 开发者预览版已经提供下载,附地址 (2011-09-16)
·[互联网]Windows Live支持XMPP协议 (2011-09-16)
 相关评论
 站点最新文章 更多>> 
·[瀚海拾遗]国际狮子会
·[JS/CSS/HTML]Vue资源整理
·[程序综合]RESTful API最佳实践
·[PHP]PHP资源整理
·[管理与测试]Git资源整理
·[经典影音]火星救援
·[程序综合]词性标注集(北大版)
·[Java/JSP]泛型
·[协议规范]5类IP地址如何划分?
·[至理名言]曾国藩:利可共而不可独,谋可寡…
 站点浏览最多 更多>> 
·[协议规范]http断点续传原理:http头 Range、…
·[NoSQL]Mongo数据库简介
·[JS/CSS/HTML]HTML 空格的表示符号 nbsp / en…
·[协议规范]什么是SPF记录?如何设置、检测SP…
·[PHP]精选国外免费PHP空间推荐
·[程序综合]常用IP地址查询接口
·[协议规范]图解 HTTPS 通信过程
·[程序综合]什么是 DNS Prefetch ?
·[程序综合]获取客户端IP地址的三个HTTP请求…
·[PHP]国产常见PHP开源框架比较