表 1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
表 1:审核帐户登录事件
事件 ID | 事件描述 |
672 |
已成功颁发和验证身份验证服务 (AS) 票证。 |
673 |
授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 |
674 |
安全主体已更新 AS 票证或 TGS 票证。 |
675 |
预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。 |
676 |
身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
677 |
TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
678 |
帐户已成功映射到域帐户。 |
681 |
登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
682 |
用户已重新连接至已断开的终端服务器会话。 |
683 |
用户未注销就断开终端服务器会话。 |
表 2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。
表 2:审核帐户管理事件
事件 ID | 事件描述 |
624 |
用户帐户已创建。 |
627 |
用户密码已更改。 |
628 |
用户密码已设置。 |
630 |
用户帐户已删除。 |
631 |
全局组已创建。 |
632 |
成员已添加至全局组。 |
633 |
成员已从全局组删除。 |
634 |
全局组已删除。 |
635 |
已新建本地组。 |
636 |
成员已添加至本地组。 |
637 |
成员已从本地组删除。 |
638 |
本地组已删除。 |
639 |
本地组帐户已更改。 |
641 |
全局组帐户已更改。 |
642 |
用户帐户已更改。 |
643 |
域策略已修改。 |
644 |
用户帐户被自动锁定。 |
645 |
计算机帐户已创建。 |
646 |
计算机帐户已更改。 |
647 |
计算机帐户已删除。 |
648 |
禁用安全的本地安全组已创建。 |
649 |
禁用安全的本地安全组已更改。 |
650 |
成员已添加至禁用安全的本地安全组。 |
651 |
成员已从禁用安全的本地安全组删除。 |
652 |
禁用安全的本地组已删除。 |
653 |
禁用安全的全局组已创建。 |
654 |
禁用安全的全局组已更改。 |
655 |
成员已添加至禁用安全的全局组。 |
656 |
成员已从禁用安全的全局组删除。 |
657 |
禁用安全的全局组已删除。 |
658 |
启用安全的通用组已创建。 |
659 |
启用安全的通用组已更改。 |
660 |
成员已添加至启用安全的通用组。 |
661 |
成员已从启用安全的通用组删除。 |
662 |
启用安全的通用组已删除。 |
663 |
禁用安全的通用组已创建。 |
664 |
禁用安全的通用组已更改。 |
665 |
成员已添加至禁用安全的通用组。 |
666 |
成员已从禁用安全的通用组删除。 |
667 |
禁用安全的通用组已删除。 |
668 |
组类型已更改。 |
684 |
管理组成员的安全描述符已设置。 |
685 |
帐户名称已更改。 |
表 3 显示了由“审核目录服务访问”安全模板设置所生成的安全事件。
表 3:审核目录服务访问事件
事件 ID | 事件描述 |
566 |
发生了一般对象操作。 |
表 4 包含由“审核登录事件”安全模板设置所生成的安全事件。
表 4:审核登录事件
事件 ID | 审核登录事件 |
528 |
用户成功登录到计算机。 |
529 |
登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 |
530 |
登录失败。试图在允许的时间外登录。 |
531 |
登录失败。试图使用禁用的帐户登录。 |
532 |
登录失败。试图使用已过期的帐户登录。 |
533 |
登录失败。不允许登录到指定计算机的用户试图登录。 |
534 |
登录失败。用户试图使用不允许的密码类型登录。 |
535 |
登录失败。指定帐户的密码已过期。 |
536 |
登录失败。Net Logon 服务没有启动。 |
537 |
登录失败。由于其他原因登录尝试失败。 |
538 |
用户的注销过程已完成。 |
539 |
登录失败。试图登录时,该帐户已锁定。 |
540 |
用户成功登录到网络。 |
541 |
本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 |
542 |
数据频道已终止。 |
543 |
主要模式已终止。 |
544 |
由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 |
545 |
由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。 |
546 |
由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 |
547 |
在 IKE 握手过程中,出现错误。 |
548 |
登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 |
549 |
登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 |
550 |
可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 |
551 |
用户已启动注销过程。 |
552 |
用户使用明确凭据成功登录到作为其他用户已登录到的计算机。 |
682 |
用户已重新连接至已断开的终端服务器会话。 |
683 |
用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。 |
表 5 显示了由“审核对象访问”安全模板设置所生成的安全事件。
表 5:审核对象访问事件
事件 ID | 事件描述 |
560 |
访问权限已授予现有的对象。 |
562 |
指向对象的句柄已关闭。 |
563 |
试图打开一个对象并打算将其删除。 |
564 |
受保护对象已删除。 |
565 |
访问权限已授予现有的对象类型。 |
567 |
使用了与句柄关联的权限。 |
568 |
试图创建与正在审核的文件的硬链接。 |
569 |
授权管理器中的资源管理器试图创建客户端上下文。 |
570 |
客户端试图访问对象。 |
571 |
客户端上下文由授权管理器应用程序删除。 |
572 |
Administrator Manager(管理员管理器)初始化此应用程序。 |
772 |
证书管理器已拒绝挂起的证书申请。 |
773 |
证书服务已收到重新提交的证书申请。 |
774 |
证书服务已吊销证书。 |
775 |
证书服务已收到发行证书吊销列表 (CRL) 的请求。 |
776 |
证书服务已发行 CRL。 |
777 |
已制定证书申请扩展。 |
778 |
已更改多个证书申请属性。 |
779 |
证书服务已收到关机请求。 |
780 |
已开始证书服务备份。 |
781 |
已完成证书服务备份。 |
782 |
已开始证书服务还原。 |
783 |
已完成证书服务还原。 |
784 |
证书服务已开始。 |
785 |
证书服务已停止。 |
786 |
已更改证书服务的安全权限。 |
787 |
证书服务已检索存档密钥。 |
788 |
证书服务已将证书导入其数据库中。 |
789 |
证书服务审核筛选已更改。 |
790 |
证书服务已收到证书申请。 |
791 |
证书服务已批准证书申请并已颁发证书。 |
792 |
证书服务已拒绝证书申请。 |
793 |
证书服务将证书申请状态设为挂起。 |
794 |
证书服务的证书管理器设置已更改。 |
795 |
证书服务中的配置项已更改。 |
796 |
证书服务的属性已更改。 |
797 |
证书服务已将密钥存档。 |
798 |
证书服务导入密钥并将其存档。 |
799 |
证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory® 目录服务。 |
800 |
已从证书数据库删除一行或多行。 |
801 |
角色分离已启用。 |
表 6 显示了由“审核策略更改”安全模板设置所生成的安全事件。
表 6:审核策略更改事件
事件 ID | 事件描述 |
608 |
已分配用户权限。 |
609 |
用户权限已删除。 |
610 |
与其他域的信任关系已创建。 |
611 |
与其他域的信任关系已删除。 |
612 |
审核策略已更改。 |
613 |
Internet 协议安全 (IPSec) 策略代理已启动。 |
614 |
IPSec 策略代理已禁用。 |
615 |
IPSec 策略代理已更改。 |
616 |
IPSec 策略代理遇到一个可能很严重的故障。 |
617 |
Kerberos v5 策略已更改。 |
618 |
加密数据恢复策略已更改。 |
620 |
与其他域的信任关系已修改。 |
621 |
已授予帐户系统访问权限。 |
622 |
已删除帐户的系统访问权限。 |
623 |
按用户设置审核策略。 |
625 |
按用户刷新审核策略。 |
768 |
检测到两个林的名称空间元素之间有冲突。 |
769 |
已添加受信任的林信息。 |
770 |
已删除受信任的林信息。 |
771 |
已修改受信任的林信息。 |
805 |
事件日志服务读取会话的安全日志配置。 |
表 7 显示了由“审核特权使用”安全模板设置所生成的安全事件。
表 7:特权使用事件
事件 ID | 事件描述 |
576 |
指定的特权已添加到用户的访问令牌中。 |
577 |
用户试图执行需要特权的系统服务操作。 |
578 |
特权用于已经打开的受保护对象的句柄。 |
表 8 显示了由“审核过程跟踪”安全模板设置所生成的安全事件。
表 8:审核过程跟踪事件
事件 ID | 事件描述 |
592 |
已创建新进程。 |
593 |
进程已退出。 |
594 |
对象句柄已复制。 |
595 |
已获取对象的间接访问权。 |
596 |
数据保护主密钥已备份。 |
597 |
数据保护主密钥已从恢复服务器恢复。 |
598 |
审核过的数据已受保护。 |
599 |
审核过的数据未受保护。 |
600 |
已分配给进程主令牌。 |
601 |
用户试图安装服务。 |
602 |
已创建计划程序任务。 |
表 9 显示了由“审核系统事件”安全模板设置所生成的系统事件。
表 9:审核系统事件
事件 ID | 事件描述 |
512 |
Windows 正在启动。 |
513 |
Windows 正在关机。 |
514 |
本地安全机制机构已加载身份验证数据包。 |
515 |
受信任的登录过程已经在本地安全机构注册。 |
516 |
用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。 |
517 |
审核日志已清除。 |
518 |
安全帐户管理器已加载通知数据包。 |
519 |
进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。 |
520 |
系统时间已更改。 |
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |