表 1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
表 1:审核帐户登录事件
| 事件 ID | 事件描述 |
|
672 |
已成功颁发和验证身份验证服务 (AS) 票证。 |
|
673 |
授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 |
|
674 |
安全主体已更新 AS 票证或 TGS 票证。 |
|
675 |
预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。 |
|
676 |
身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
|
677 |
TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
|
678 |
帐户已成功映射到域帐户。 |
|
681 |
登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
|
682 |
用户已重新连接至已断开的终端服务器会话。 |
|
683 |
用户未注销就断开终端服务器会话。 |
表 2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。
表 2:审核帐户管理事件
| 事件 ID | 事件描述 |
|
624 |
用户帐户已创建。 |
|
627 |
用户密码已更改。 |
|
628 |
用户密码已设置。 |
|
630 |
用户帐户已删除。 |
|
631 |
全局组已创建。 |
|
632 |
成员已添加至全局组。 |
|
633 |
成员已从全局组删除。 |
|
634 |
全局组已删除。 |
|
635 |
已新建本地组。 |
|
636 |
成员已添加至本地组。 |
|
637 |
成员已从本地组删除。 |
|
638 |
本地组已删除。 |
|
639 |
本地组帐户已更改。 |
|
641 |
全局组帐户已更改。 |
|
642 |
用户帐户已更改。 |
|
643 |
域策略已修改。 |
|
644 |
用户帐户被自动锁定。 |
|
645 |
计算机帐户已创建。 |
|
646 |
计算机帐户已更改。 |
|
647 |
计算机帐户已删除。 |
|
648 |
禁用安全的本地安全组已创建。 |
|
649 |
禁用安全的本地安全组已更改。 |
|
650 |
成员已添加至禁用安全的本地安全组。 |
|
651 |
成员已从禁用安全的本地安全组删除。 |
|
652 |
禁用安全的本地组已删除。 |
|
653 |
禁用安全的全局组已创建。 |
|
654 |
禁用安全的全局组已更改。 |
|
655 |
成员已添加至禁用安全的全局组。 |
|
656 |
成员已从禁用安全的全局组删除。 |
|
657 |
禁用安全的全局组已删除。 |
|
658 |
启用安全的通用组已创建。 |
|
659 |
启用安全的通用组已更改。 |
|
660 |
成员已添加至启用安全的通用组。 |
|
661 |
成员已从启用安全的通用组删除。 |
|
662 |
启用安全的通用组已删除。 |
|
663 |
禁用安全的通用组已创建。 |
|
664 |
禁用安全的通用组已更改。 |
|
665 |
成员已添加至禁用安全的通用组。 |
|
666 |
成员已从禁用安全的通用组删除。 |
|
667 |
禁用安全的通用组已删除。 |
|
668 |
组类型已更改。 |
|
684 |
管理组成员的安全描述符已设置。 |
|
685 |
帐户名称已更改。 |
表 3 显示了由“审核目录服务访问”安全模板设置所生成的安全事件。
表 3:审核目录服务访问事件
| 事件 ID | 事件描述 |
|
566 |
发生了一般对象操作。 |
表 4 包含由“审核登录事件”安全模板设置所生成的安全事件。
表 4:审核登录事件
| 事件 ID | 审核登录事件 |
|
528 |
用户成功登录到计算机。 |
|
529 |
登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 |
|
530 |
登录失败。试图在允许的时间外登录。 |
|
531 |
登录失败。试图使用禁用的帐户登录。 |
|
532 |
登录失败。试图使用已过期的帐户登录。 |
|
533 |
登录失败。不允许登录到指定计算机的用户试图登录。 |
|
534 |
登录失败。用户试图使用不允许的密码类型登录。 |
|
535 |
登录失败。指定帐户的密码已过期。 |
|
536 |
登录失败。Net Logon 服务没有启动。 |
|
537 |
登录失败。由于其他原因登录尝试失败。 |
|
538 |
用户的注销过程已完成。 |
|
539 |
登录失败。试图登录时,该帐户已锁定。 |
|
540 |
用户成功登录到网络。 |
|
541 |
本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 |
|
542 |
数据频道已终止。 |
|
543 |
主要模式已终止。 |
|
544 |
由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 |
|
545 |
由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。 |
|
546 |
由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 |
|
547 |
在 IKE 握手过程中,出现错误。 |
|
548 |
登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 |
|
549 |
登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 |
|
550 |
可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 |
|
551 |
用户已启动注销过程。 |
|
552 |
用户使用明确凭据成功登录到作为其他用户已登录到的计算机。 |
|
682 |
用户已重新连接至已断开的终端服务器会话。 |
|
683 |
用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。 |
表 5 显示了由“审核对象访问”安全模板设置所生成的安全事件。
表 5:审核对象访问事件
| 事件 ID | 事件描述 |
|
560 |
访问权限已授予现有的对象。 |
|
562 |
指向对象的句柄已关闭。 |
|
563 |
试图打开一个对象并打算将其删除。 |
|
564 |
受保护对象已删除。 |
|
565 |
访问权限已授予现有的对象类型。 |
|
567 |
使用了与句柄关联的权限。 |
|
568 |
试图创建与正在审核的文件的硬链接。 |
|
569 |
授权管理器中的资源管理器试图创建客户端上下文。 |
|
570 |
客户端试图访问对象。 |
|
571 |
客户端上下文由授权管理器应用程序删除。 |
|
572 |
Administrator Manager(管理员管理器)初始化此应用程序。 |
|
772 |
证书管理器已拒绝挂起的证书申请。 |
|
773 |
证书服务已收到重新提交的证书申请。 |
|
774 |
证书服务已吊销证书。 |
|
775 |
证书服务已收到发行证书吊销列表 (CRL) 的请求。 |
|
776 |
证书服务已发行 CRL。 |
|
777 |
已制定证书申请扩展。 |
|
778 |
已更改多个证书申请属性。 |
|
779 |
证书服务已收到关机请求。 |
|
780 |
已开始证书服务备份。 |
|
781 |
已完成证书服务备份。 |
|
782 |
已开始证书服务还原。 |
|
783 |
已完成证书服务还原。 |
|
784 |
证书服务已开始。 |
|
785 |
证书服务已停止。 |
|
786 |
已更改证书服务的安全权限。 |
|
787 |
证书服务已检索存档密钥。 |
|
788 |
证书服务已将证书导入其数据库中。 |
|
789 |
证书服务审核筛选已更改。 |
|
790 |
证书服务已收到证书申请。 |
|
791 |
证书服务已批准证书申请并已颁发证书。 |
|
792 |
证书服务已拒绝证书申请。 |
|
793 |
证书服务将证书申请状态设为挂起。 |
|
794 |
证书服务的证书管理器设置已更改。 |
|
795 |
证书服务中的配置项已更改。 |
|
796 |
证书服务的属性已更改。 |
|
797 |
证书服务已将密钥存档。 |
|
798 |
证书服务导入密钥并将其存档。 |
|
799 |
证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory® 目录服务。 |
|
800 |
已从证书数据库删除一行或多行。 |
|
801 |
角色分离已启用。 |
表 6 显示了由“审核策略更改”安全模板设置所生成的安全事件。
表 6:审核策略更改事件
| 事件 ID | 事件描述 |
|
608 |
已分配用户权限。 |
|
609 |
用户权限已删除。 |
|
610 |
与其他域的信任关系已创建。 |
|
611 |
与其他域的信任关系已删除。 |
|
612 |
审核策略已更改。 |
|
613 |
Internet 协议安全 (IPSec) 策略代理已启动。 |
|
614 |
IPSec 策略代理已禁用。 |
|
615 |
IPSec 策略代理已更改。 |
|
616 |
IPSec 策略代理遇到一个可能很严重的故障。 |
|
617 |
Kerberos v5 策略已更改。 |
|
618 |
加密数据恢复策略已更改。 |
|
620 |
与其他域的信任关系已修改。 |
|
621 |
已授予帐户系统访问权限。 |
|
622 |
已删除帐户的系统访问权限。 |
|
623 |
按用户设置审核策略。 |
|
625 |
按用户刷新审核策略。 |
|
768 |
检测到两个林的名称空间元素之间有冲突。 |
|
769 |
已添加受信任的林信息。 |
|
770 |
已删除受信任的林信息。 |
|
771 |
已修改受信任的林信息。 |
|
805 |
事件日志服务读取会话的安全日志配置。 |
表 7 显示了由“审核特权使用”安全模板设置所生成的安全事件。
表 7:特权使用事件
| 事件 ID | 事件描述 |
|
576 |
指定的特权已添加到用户的访问令牌中。 |
|
577 |
用户试图执行需要特权的系统服务操作。 |
|
578 |
特权用于已经打开的受保护对象的句柄。 |
表 8 显示了由“审核过程跟踪”安全模板设置所生成的安全事件。
表 8:审核过程跟踪事件
| 事件 ID | 事件描述 |
|
592 |
已创建新进程。 |
|
593 |
进程已退出。 |
|
594 |
对象句柄已复制。 |
|
595 |
已获取对象的间接访问权。 |
|
596 |
数据保护主密钥已备份。 |
|
597 |
数据保护主密钥已从恢复服务器恢复。 |
|
598 |
审核过的数据已受保护。 |
|
599 |
审核过的数据未受保护。 |
|
600 |
已分配给进程主令牌。 |
|
601 |
用户试图安装服务。 |
|
602 |
已创建计划程序任务。 |
表 9 显示了由“审核系统事件”安全模板设置所生成的系统事件。
表 9:审核系统事件
| 事件 ID | 事件描述 |
|
512 |
Windows 正在启动。 |
|
513 |
Windows 正在关机。 |
|
514 |
本地安全机制机构已加载身份验证数据包。 |
|
515 |
受信任的登录过程已经在本地安全机构注册。 |
|
516 |
用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。 |
|
517 |
审核日志已清除。 |
|
518 |
安全帐户管理器已加载通知数据包。 |
|
519 |
进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。 |
|
520 |
系统时间已更改。 |
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |