windows日志ID速查
原创2024年10月14日大约 42 分钟
类别:帐户管理
子类别:应用程序组管理
ID
消息
4783
已创建基本的应用程序组。
4784
基本应用程序组已被更改。
4785
已将成员添加到基本应用程序组。4786
已从基本应用程序组中删除一个成员。
4787
非成员已添加到基本应用程序组。
4788
非成员已从删除基本应用程序组。
4789
基本应用程序组已删除。
4790
LDAP 查询组被创建。
4791
基本应用程序组已被更改。
4792
LDAP 查询组已删除。子类别:计算机帐户管理
ID
消息
4741
创建一个计算机帐户。
4742
已更改计算机帐户。
4743
计算机帐户被删除。子类别:通讯组管理
ID
消息
4744
已创建禁用安全的本地组。
4745
已更改禁用安全的本地组。
4746
已将成员添加到禁用安全的本地组。
4747
从禁用安全的本地组已删除成员。
4748
已删除禁用安全的本地组。
4749
已创建在禁用安全的全局组。
4750
已更改禁用安全的全局组。
4751
已将成员添加到禁用安全的全局组。
4752
已从禁用安全的全局组中删除一个成员。
4753
已删除禁用安全的全局组。
4759
已创建一个安全的禁用通用组。
4760
更改一个的禁用安全的通用组时。
00
已将成员添加到禁用安全的通用组。
4762
已从禁用安全的通用组中删除成员。子类别:其他帐户管理事件
ID
消息
4739
域策略已更改。
4782
访问密码哈希的帐户。
4793
密码策略检查 API 被调用。子类别:安全组管理
ID
消息
4727
已创建在启用安全的全局组。
4728
已将成员添加到启用安全的全局组。
4729
已从启用安全的全局组中删除一个成员。
4730
已删除启用安全的全局组。
4731
已创建启用安全的本地组。
4732
已将成员添加到启用安全的本地组。
4733
从启用安全的本地组已删除成员。
4734
已删除启用安全的本地组。
4735
已更改启用安全的本地组。
4737
已更改启用安全的全局组。
4754
已创建一个的启用安全的通用组。
4755
已更改一个的启用安全的通用组。
4756
已将成员添加到启用安全的通用组。
4757
从启用安全的通用组已删除成员。
4758
已删除启用安全的通用组。
4764
组已经类型已更改。子类别:用户帐户管理
ID
消息
4720
创建了用户帐户。
4722
已启用用户帐户。
4723
试图更改帐户的密码。
4724
试图重置帐户的密码。
4725
用户帐户已禁用。
4726
用户帐户被删除。
4738
已更改用户帐户。
4740
已锁定一个用户帐户。
4765
SID 历史记录被添加到一个帐户中。
4766
尝试向一个帐户的 SID 历史记录失败。
4767
未锁定用户帐户。
4780
Administrators 组的成员的帐户上设置 ACL。
4781
帐户的名称已更改:
4794
试图设置目录服务还原模式。
5376
凭据管理器的凭据进行备份。
5377
凭据管理器的凭据是从备份还原的。类别:详细跟踪
子类别:DPAPI 活动
ID
消息
1
尝试的数据保护主密钥备份。
4693
试图恢复数据保护主密钥。
4694
试图保护可审核的受保护数据。
4695
试图 unprotection 的可审核的受保护数据。子类别:进程创建
ID
消息
4688
已创建一个新进程。
4696
主令牌被分配给处理。子类别: 进程终止
ID
消息
4689
进程已退出。子类别:RPC 事件
ID
消息
5712
试图远程过程调用 (RPC)。类别:DS 访问
子类别:详细的目录服务复制
ID
消息
4928
已建立的 Active Directory 副本源命名上下文。
4929
已删除的 Active Directory 副本源命名上下文。
4930
修改 Active Directory 副本源命名上下文。4931
修改 Active Directory 副本目标命名上下文。
4934
Active Directory 对象的属性被复制。
4935
复制失败开始。
4936
复制失败结束。
4937
延迟的对象已从副本中删除。子类别:目录服务访问
ID
消息
4662
一个对象上执行的操作。子类别:目录服务更改
ID
消息
5136
目录服务对象已修改。
5137
创建目录服务对象。
5138
目录服务对象是未被删除。
5139
目录服务对象被移动。
请注意可以仅在 Windows Vista Service Pack 1 和 Windows Server 2008 中目录服务更改子类别中的以下事件。
5141
目录服务对象已删除。子类别:目录服务复制
ID
消息
4932
一个 Active Directory 命名上下文的副本的同步已开始。
4933
一个 Active Directory 命名上下文的副本的同步已结束。登录/注销类别:
扩展模式下的子类别:IPSec
ID
消息
4978
扩展的模式协商,期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明网络问题或试图修改或重播此协商。
4979
建立 IPSec 主模式和扩展的模式安全关联。
4980
建立 IPSec 主模式和扩展的模式安全关联。
4981
建立 IPSec 主模式和扩展的模式安全关联。
4982
建立 IPSec 主模式和扩展的模式安全关联。
4983
一个 IPSec 扩展模式协商失败。相应的主模式安全关联已被删除。
4984
一个 IPSec 扩展模式协商失败。相应的主模式安全关联已被删除。子类别:IPSec 主模式
ID
消息
4646
IKE DoS 阻止模式已启动。
4650
已建立的 IPSec 主模式安全关联。未启用扩展的模式。未使用证书身份验证。
4651
已建立的 IPSec 主模式安全关联。未启用扩展的模式。证书用于身份验证。
9655
一个 IPSec 主模式协商失败。
4653
一个 IPSec 主模式协商失败。
4655
IPSec 主模式安全关联结束。
4976
主模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明网络问题或试图修改或重播此协商。
5049
已删除 IPSec 安全关联。
5453
与远程计算机的 IPSec 协商失败,因为 IKE 和 AuthIP IPSec 密钥模块(IKEEXT) 服务未启动。子类别:IPSec 快速模式
ID
消息
4654
IPsec 快速模式协商失败。
4977
在快速模式协商 IPSec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明网络问题或试图修改或重播此协商。
5451
已建立 IPsec 快速模式安全关联。
5452
IPsec 快速模式安全关联结束。子类别:注销
ID
消息
4634
帐户被注销。
4647
用户启动注销。子类别:登录
ID
消息
4624
已成功登录的帐户。
4625
帐户登录失败。
4648
使用显式凭据尝试登录。
4675
筛选了 SID。
请注意网络策略服务器子类别中的所有事件都均可仅在 Windows Vista Service Pack 1 和 Windows Server 2008 中。子类别:网络策略服务器
ID
消息
6272
网络策略服务器向用户授予访问权限。
6273
网络策略服务器拒绝用户访问。
6274
网络策略服务器放弃用户的请求。
6275
网络策略服务器放弃用户的记帐请求。
6276
网络策略服务器隔离用户。
6277
网络策略服务器授予用户访问,但将其放置在 probation 因为主机不符合已定义的运行状况策略。
6278
网络策略服务器因为主机满足定义运行状况策略用户授予完全访问权限。
6279
网络策略服务器锁定用户帐户由于重复的失败身份验证尝试。
6280
网络策略服务器取消锁定用户帐户。子类别:其他登录/注销事件
ID
消息
4649
检测到重播攻击。
4778
会话已重新连接到窗口站。
4779
在会话被中断从窗口工作站。
4800
工作站已锁定。
4801
未锁定工作站。
4802
调用屏幕保护程序。
4803
屏幕保护程序已关闭。
5378
请求的凭据委派是不允许的策略。
5632
已请求对无线网络进行身份验证。
5633
已请求对有线网络进行身份验证。子类别:特殊登录
ID
消息
4964
特殊组已分配到一个新的登录。类别:对象访问
生成的子类别:应用程序
ID
消息
4665
试图创建应用程序客户端环境。
4666
应用程序尝试的操作:
4667
已删除应用程序客户端环境。
4668
应用程序已初始化。子类别:证书服务
ID
消息
4868
证书管理器已拒绝挂起的证书请求。
4869
证书服务收到 resubmitted 的证书申请。
4870
证书服务吊销证书。
4871
证书服务收到一个请求发布证书吊销列表 (CRL)。
4872
证书服务发行证书吊销列表 (CRL)。
4873
证书请求扩展的更改。
e 1 e 38 d
一个或多个证书请求属性更改。
4875
证书服务收到一个请求关闭。
4876
证书服务备份启动。
4877
证书服务备份已完成。
4878
证书服务还原启动。
4879
证书服务还原已完成。
4880
证书服务启动。
4881
证书服务已停止。
4882
证书服务安全权限更改。
4883
证书服务检索存档的密钥。
4884
证书服务导入到其数据库的证书。
4885
证书服务审核筛选器更改。
4886
证书服务收到证书申请。
4887
证书服务批准证书请求并颁发证书。
4888
证书服务拒绝证书请求。
4889
证书服务将证书申请状态设置为挂起。
4890
证书服务在证书管理器设置更改。
4891
在证书服务中更改一个配置项。
4892
更改的证书服务的属性。
4893
证书服务存档一个密钥。
4894
证书服务导入并存档一个密钥。
4895
证书服务发行到 Active Directory 域服务的 CA 证书。
4896
已从证书数据库中删除一个或多个行。
4897
启用角色分离:
4898
证书服务加载模板。
4899
证书服务模板已更新。
4900
证书服务模板安全已更新。
5120
OCSP 响应程序服务启动。
5121
OCSP 响应程序服务已停止。
5122
配置项更改 OCSP 响应程序服务。
5123
配置项更改 OCSP 响应程序服务。
5124
安全设置已更新 OCSP 响应程序服务。
5125
请求提交到 OCSP 响应程序服务。
5126
签名证书已自动更新 OCSP 响应程序服务。
5127
OCSP 吊销提供程序成功更新吊销信息。子类别:文件共享
ID
消息
5140
访问网络共享对象。子类别:文件系统
ID
消息
4664
试图创建硬链接。
4985
交易记录的状态已更改。
5051
文件被虚拟化。子类别:筛选平台连接
ID
消息
5031
Windows 防火墙服务阻止应用程序接受网络上的传入连接。
5154
Windows 筛选平台具有允许应用程序或服务端口上侦听传入的连接。
5155
Windows 筛选平台已阻止应用程序或服务端口上侦听传入的连接。
5156
Windows 筛选平台允许连接。
5157
Windows 筛选平台已阻止连接。
5158
Windows 筛选平台具有允许绑定到一个本地端口。
5159
Windows 筛选平台已阻止绑定到一个本地端口。子类别:筛选平台数据包放置
ID
消息
5152
Windows 筛选平台阻止数据包。
5153
更严格的 Windows 筛选平台筛选已阻止数据包。子类别:句柄操作
ID
消息
4656
请求的对象的句柄。
4658
对象句柄已关闭。
4690
试图复制一个对象的句柄。子类别:其他对象访问事件
ID
消息
4671
应用程序试图通过在 TBS.访问被阻止的序号
a
请求间接访问某个对象。
4698
计划的任务被创建。
4699
已计划的任务。
4700
已启用计划的任务。
4701
已禁用计划的任务。
4702
计划的任务已更新。
5888
COM+ 目录中的对象已修改。
5889
对象已从 COM+ 目录中删除。
5890
一个对象被添加到 COM+ 目录中。子类别:注册表
ID
消息
4657
修改注册表值。
5039
注册表项被虚拟化。Special Multi-use Subcategory 的子类别:
内核对象/SAM
请注意以下事件可能生成任何资源管理器启用了它的子类别时。是例如注册表资源管理器或文件系统资源管理器,可能会生成以下事件。在"对象访问:内核对象"和"对象访问: SAM"子类别是以独占方式使用这些事件的子类别的示例。
ID
消息
173
对象的句柄已请求与要删除的颜色。
4660
已删除的对象。
4 b 2
请求的对象的句柄。
4663
试图访问的对象。类别:策略更改
子类别:审核策略更改
ID
消息
4715
在对象上的审核策略 (SACL) 已更改。
4719
系统审核策略已更改。
4902
被创建的每个用户审核策略表。
4904
试图注册安全事件源。
4905
试图取消注册安全事件源。
4906
CrashOnAuditFail 值已更改。
4907
对象上的审核设置已更改。
4908
特殊组登录修改的表。
4912
每用户审核策略已更改。子类别:身份验证策略更改
ID
消息
4706
新的信任创建以一个域。
4707
已删除信任域。
4713
Kerberos 策略已更改。
4716
已修改受信任的域信息。
4717
系统安全访问权限被授予的帐户。
4718
系统安全访问权限已从帐户中删除。
4864
检测到命名空间冲突。
4865
添加了一个受信任的林信信息项。
4866
已删除一个受信任的林信信息项。
4867
已修改一个受信任的林信信息项。子类别:授权策略更改
ID
消息
4704
分配用户权限。
4705
已删除用户权限。
4714
加密的数据恢复策略已更改。子类别:筛选平台策略更改
ID
消息
4709
IPSec 服务已启动。
4710
IPSec 服务被禁用。
4711
可能包含以下任何一个:
∙PAStore 引擎在计算机上应用Active Directory 存储IPSec 策略的本地缓存的副本。
∙PAStore 引擎在计算机上应用Active Directory 存储IPSec 策略。
∙PAStore 引擎在计算机上应用本地注册表存储IPSec 策略。
∙PAStore 引擎无法在计算机上应用Active Directory 存储IPSec 策略的本地缓存的副本。
∙PAStore 引擎无法在计算机上应用Active Directory 存储IPSec 策略。
∙PAStore 引擎无法在计算机上应用本地注册表存储IPSec 策略。
∙PAStore 引擎无法在计算机上应用活动IPSec 策略的某些规则。
∙PAStore 引擎无法加载目录存储在计算机上的IPSec 策略。
∙PAStore 引擎加载目录存储在计算机上的IPSec 策略。
∙PAStore 引擎无法加载本地存储在计算机上的IPSec 策略。
∙PAStore 引擎加载本地存储在计算机上的IPSec 策略。
∙PAStore 引擎轮询更改活动的IPSec 策略,并检测到任何更改。
4712
IPSec 服务遇到可能严重错误。
5040
已被更改 IPSec 设置。已添加身份验证集。
5041
已被更改 IPSec 设置。已修改的身份验证集。
5042
已被更改 IPSec 设置。已删除身份验证集。
5043
已被更改 IPSec 设置。已添加连接安全规则。
5044
已被更改 IPSec 设置。修改连接安全规则。
5045
已被更改 IPSec 设置。已删除连接安全规则。
5046
已被更改 IPSec 设置。已添加加密集。
5047
已被更改 IPSec 设置。已修改加密集。
5048
已被更改 IPSec 设置。已删除加密集。
5440
Windows 筛选平台基本筛选引擎启动时,出现下列标注。
5441
Windows 筛选平台基本筛选引擎启动时,出现下面的筛选器。
5442
下面提供程序 Windows 筛选平台基本筛选引擎启动时,出现。
5443
Windows 筛选平台基本筛选引擎启动时,出现以下的提供程序上下文。
5444
Windows 筛选平台基本筛选引擎启动时,出现以下 sub-layer。
5446
已更改 Windows 筛选平台标注。
5448
Windows 筛选平台提供程序已被更改。
5449
Windows 筛选平台提供程序上下文已被更改。
5450
一个 Windows 筛选平台 sub-layer 已被更改。
5456
PAStore 引擎在计算机上应用 Active Directory 存储 IPSec 策略。
5457
PAStore 引擎无法在计算机上应用 Active Directory 存储 IPSec 策略。
5458
PAStore 引擎在计算机上应用 Active Directory 存储 IPSec 策略的本地缓存的副本。
5459
PAStore 引擎无法在计算机上应用 Active Directory 存储 IPSec 策略的本地缓存的副本。
5460
PAStore 引擎在计算机上应用本地注册表存储 IPSec 策略。
5461
PAStore 引擎无法在计算机上应用本地注册表存储 IPSec 策略。
5462
PAStore 引擎无法在计算机上应用活动 IPSec 策略的某些规则。使用此 IP 安全监视器管理单元来诊断问题。
5463
PAStore 引擎轮询更改活动的 IPSec 策略,并检测到任何更改。
5464
PAStore 引擎在轮询更改活动的 IPSec 策略,在检测到更改,并,将它们应用于 IPSec 服务。
5465
PAStore 引擎接收强制重新加载 IPSec 策略的一个控件,并成功处理该控件。
5466
PAStore 引擎轮询 Active Directory IPSec 策略,确定 Active Directory 无法到达,并将在而是使用 Active Directory IPSec 策略的缓存的副本的更改。对 Active Directory IPSec 策略进行,因为应用上次轮询的任何更改。
5467
对 Active Directory IPSec 策略,确定 Active Directory 可以是到达,并找到没有更改该策略更改轮询 PAStore 引擎。 Active Directory IPSec 策略缓存的副本不再被使用。
5468
对在 Active Directory IPSec 策略更改轮询 PAStore 引擎确定 Active Directory 可访问,找到对此的策略更改并应用这些更改。 Active Directory IPSec 策略缓存的副本不再被使用。
5471
PAStore 引擎加载本地存储在计算机上的 IPSec 策略。
5472
PAStore 引擎无法加载本地存储在计算机上的 IPSec 策略。
5473
PAStore 引擎加载目录存储在计算机上的 IPSec 策略。
5474
PAStore 引擎无法加载目录存储在计算机上的 IPSec 策略。
5477
PAStore 引擎无法添加快速模式筛选器。子类别:MPSSVC 规则-级别策略更改
ID
消息
4944
以下策略在 Windows 防火墙启动时活动。
4945
Windows 防火墙启动时,将被列出规则。
4946
已被更改 Windows 防火墙例外列表。已添加一个规则。
4947
已被更改 Windows 防火墙例外列表。规则已修改。
4948
已被更改 Windows 防火墙例外列表。已删除一个规则。
4949
Windows 防火墙设置恢复为默认值。
4950
Windows 防火墙设置已更改。
4951
一个规则已被忽略,因为 Windows 防火墙无法识别其主要版本号。
4952
已忽略规则的部分,因为 Windows 防火墙无法识别的次要版本号。将强制执行规则的其他部分。
4953
规则已被忽略的 Windows 防火墙中,因为它无法分析该规则。
4954
Windows 防火墙组策略设置已更改。已应用新设置。
4956
Windows 防火墙已在活动配置文件。
4957
Windows 防火墙没有应用以下规则:
4958
Windows 防火墙没有应用以下规则,因为该规则引用未配置此计算机上的项目:
5050
尝试以编程方式禁用 Windows 防火墙通过
INetFwProfile.FirewallEnabled(FALSE) 接口调用被拒绝,因为此 API 不支持Windows Vista。这很可能出现由于到这是与 Windows Vista 不兼容程序。请与程序的制造商联系,以确保您具有 Windows Vista 兼容的程序版本。子类别:其他策略更改事件
ID
消息
4909
本地策略设置为在 TBS 已更改。
4910
组策略设置为在 TBS 已更改。
5063
尝试加密提供程序操作。
5064
试图加密上下文的操作。
5065
试图加密上下文修改。
5066
尝试加密函数操作。
5067
试图加密函数修改。
5068
试图加密的函数提供程序操作。
5069
试图加密的函数的属性操作。
5070
试图加密函数属性修改。
5447
已更改 Windows 筛选平台筛选器。
6144
已成功应用组策略对象中的安全策略。
6145
处理组策略对象中的安全策略时出现一个或多个错误。
Special Multi-use Subcategory 的子类别:
请注意以下事件可能生成任何资源管理器启用了它的子类别时。是例如注册表资源管理器或文件系统资源管理器,可能会生成以下事件。
ID
消息
4670
在对象上的权限已更改。类别:权限使用
子类别:敏感权限使用/ 非敏特权使用
ID
消息
4672
分配给新的登录的特殊权限。
4673
调用权限的服务。
4674
一个权限对象上尝试的操作。
类别:系统子类别:IPSec 驱动程序
ID
消息
4960
IPSec 丢弃的入站的数据包的完整性检查。如果此问题仍然存在,它可能表示网络问题或该数据包被修改传递到此计算机。验证从远程计算机发送的数据包接收此计算机的对话框相同。此错误也可能表示与其他 IPSec 实现互操作性问题。
4961
IPSec 丢弃的入站的数据包重播检查失败。如果此问题仍然存在,它可能表明对此计算机的重播攻击。
4962
IPSec 丢弃的入站的数据包重播检查失败。入站的数据包必须以确保它不在重放得太低一个序列号。
4963
IPSec 丢弃应保护的入站的明文形式数据包。这通常是由于到远程计算机的IPSec 策略更改而不通知这台计算机。这也可能是一个欺骗攻击尝试。
4965
IPsec 从带有不正确的安全参数索引 (SPI) 的远程计算机收到一个数据包。这通常是在损坏的数据包的故障硬件造成的。如果这些错误仍然存在,验证从远程计算机发送的数据包是否接收此计算机的对话框相同。此错误也可能表示与其他 IPSec 实现互操作性问题。在这种情况下如果连接不 impeded,然后这些事件可以被忽略。
5478
已成功启动 IPSec 服务。
5479
已成功关闭 IPSec 服务。关闭 IPSec 服务可以将计算机的网络攻击的更高风险或公开计算机可能存在安全风险。
5480
IPSec 服务无法获取完整的计算机上的网络接口列表。这会带来潜在的安全风险,因为网络接口的一些可能无法获得提供应用的 IPSec 筛选保护。使用此 IP 安全监视器管理单元来诊断问题。
5483
IPSec 服务无法初始化 RPC 服务器。无法启动 IPSec 服务。
5484
IPSec 服务遇到严重错误,,已关闭。关闭 IPSec 服务可以将计算机的网络攻击的更高风险或公开计算机可能存在安全风险。
5485
IPSec 服务无法处理网络接口的即插即用事件上某些 IPsec 筛选器。这会带来潜在的安全风险,因为网络接口的一些可能无法获得提供应用的 IPSec 筛选保护。使用此 IP 安全监视器管理单元来诊断问题。子类别:其他的系统事件
ID
消息
5024
Windows 防火墙服务已成功启动。
5025
Windows 防火墙服务已停止。
5027
Windows 防火墙服务无法从本地存储中检索安全策略。服务将继续实施当前策略。
5028
Windows 防火墙服务无法分析新安全策略。该服务将继续当前实施的策略。
5029
Windows 防火墙服务无法初始化驱动程序。该服务将继续实施当前策略。
5030
Windows 防火墙服务无法启动。
5032
Windows 防火墙不能以通知用户它阻止应用程序接受网络上的传入连接。
5033
Windows 防火墙驱动程序已成功启动。
5034
Windows 防火墙驱动程序已停止。
5035
Windows 防火墙驱动程序无法启动。
5037
Windows 防火墙驱动程序检测到关键运行时错误。终止。
5058
密钥文件操作。
5059
密钥的迁移操作。子类别:安全状态更改
ID
消息
4608
Windows 正在启动。
4609
Windows 正在关闭。
4616
系统时间已更改。
4621
管理员从 CrashOnAuditFail 中恢复系统。非管理员用户将现在允许登录。一些可审核的活动可能未记录。子类别:安全系统扩展
ID
消息
4610
已由本地安全授权加载的身份验证包。
4611
受信任的登录进程已在本地安全机构注册。
4614
安全帐户管理器已加载通知包。
a-4622-ac 45-a
已由本地安全授权加载安全程序包。
4697
在系统中安装服务。子类别:系统完整性
ID
消息
4612
为的审核消息队列分配的内部资源已被用尽,导致某些审核会丢失。
4615
LPC 端口的无效使用。
4618
监视的安全事件模式出现。
4816
RPC 检测到解密传入的邮件时的完整性冲突。
5038
代码完整性确定文件的图像哈希值是无效。该文件可能损坏由于到未经授权的修改,或者无效哈希可能表明潜在的磁盘设备错误。
5056
执行加密的自检。
5057
加密基元操作失败。
5060
验证操作失败。
5061
加密操作。
5062
执行一个内核模式加密自检。
汇总版本
EVENT_ID 安全事件信息
1100 ----- 事件记录服务已关闭
1101 ----- 审计事件已被运输中断。
1102 ----- 审核日志已清除
1104 ----- 安全日志现已满
1105 ----- 事件日志自动备份
1108 ----- 事件日志记录服务遇到错误
4608 ----- Windows正在启动
4609 ----- Windows正在关闭
4610 ----- 本地安全机构已加载身份验证包
4611 ----- 已向本地安全机构注册了受信任的登录进程
4612 ----- 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
4614 ----- 安全帐户管理器已加载通知包。
4615 ----- LPC端口使用无效
4616 ----- 系统时间已更改。
4618 ----- 已发生受监视的安全事件模式
4621 ----- 管理员从CrashOnAuditFail恢复了系统
4622 ----- 本地安全机构已加载安全包。
4624 ----- 帐户已成功登录
4625 ----- 帐户无法登录
4626 ----- 用户/设备声明信息
4627 ----- 集团会员信息。
4634 ----- 帐户已注销
4646 ----- IKE DoS防护模式已启动
4647 ----- 用户启动了注销
4648 ----- 使用显式凭据尝试登录
4649 ----- 检测到重播攻击
4650 ----- 建立了IPsec主模式安全关联
4651 ----- 建立了IPsec主模式安全关联
4652 ----- IPsec主模式协商失败
4653 ----- IPsec主模式协商失败
4654 ----- IPsec快速模式协商失败
4655 ----- IPsec主模式安全关联已结束
4656 ----- 请求了对象的句柄
4657 ----- 注册表值已修改
4658 ----- 对象的句柄已关闭
4659 ----- 请求删除对象的句柄
4660 ----- 对象已删除
4661 ----- 请求了对象的句柄
4662 ----- 对对象执行了操作
4663 ----- 尝试访问对象
4664 ----- 试图创建一个硬链接
4665 ----- 尝试创建应用程序客户端上下文。
4666 ----- 应用程序尝试了一个操作
4667 ----- 应用程序客户端上下文已删除
4668 ----- 应用程序已初始化
4670 ----- 对象的权限已更改
4671 ----- 应用程序试图通过TBS访问被阻止的序号
4672 ----- 分配给新登录的特权
4673 ----- 特权服务被召唤
4674 ----- 尝试对特权对象执行操作
4675 ----- SID被过滤掉了
4688 ----- 已经创建了一个新流程
4689 ----- 一个过程已经退出
4690 ----- 尝试复制对象的句柄
4691 ----- 请求间接访问对象
4692 ----- 尝试备份数据保护主密钥
4693 ----- 尝试恢复数据保护主密钥
4694 ----- 试图保护可审计的受保护数据
4695 ----- 尝试不受保护的可审计受保护数据
4696 ----- 主要令牌已分配给进程
4697 ----- 系统中安装了一项服务
4698 ----- 已创建计划任务
4699 ----- 计划任务已删除
4700 ----- 已启用计划任务
4701 ----- 计划任务已禁用
4702 ----- 计划任务已更新
4703 ----- 令牌权已经调整
4704 ----- 已分配用户权限
4705 ----- 用户权限已被删除
4706 ----- 为域创建了新的信任
4707 ----- 已删除对域的信任
4709 ----- IPsec服务已启动
4710 ----- IPsec服务已禁用
4711 ----- PAStore引擎(1%)
4712 ----- IPsec服务遇到了潜在的严重故障
4713 ----- Kerberos策略已更改
4714 ----- 加密数据恢复策略已更改
4715 ----- 对象的审核策略(SACL)已更改
4716 ----- 可信域信息已被修改
4717 ----- 系统安全访问权限已授予帐户
4718 ----- 系统安全访问已从帐户中删除
4719 ----- 系统审核策略已更改
4720 ----- 已创建用户帐户
4722 ----- 用户帐户已启用
4723 ----- 尝试更改帐户的密码
4724 ----- 尝试重置帐户密码
4725 ----- 用户帐户已被禁用
4726 ----- 用户帐户已删除
4727 ----- 已创建启用安全性的全局组
4728 ----- 已将成员添加到启用安全性的全局组中
4729 ----- 成员已从启用安全性的全局组中删除
4730 ----- 已删除启用安全性的全局组
4731 ----- 已创建启用安全性的本地组
4732 ----- 已将成员添加到启用安全性的本地组
4733 ----- 成员已从启用安全性的本地组中删除
4734 ----- 已删除已启用安全性的本地组
4735 ----- 已启用安全性的本地组已更改
4737 ----- 启用安全性的全局组已更改
4738 ----- 用户帐户已更改
4739 ----- 域策略已更改
4740 ----- 用户帐户已被锁定
4741 ----- 已创建计算机帐户
4742 ----- 计算机帐户已更改
4743 ----- 计算机帐户已删除
4744 ----- 已创建禁用安全性的本地组
4745 ----- 已禁用安全性的本地组已更改
4746 ----- 已将成员添加到已禁用安全性的本地组
4747 ----- 已从安全性已禁用的本地组中删除成员
4748 ----- 已删除安全性已禁用的本地组
4749 ----- 已创建一个禁用安全性的全局组
4750 ----- 已禁用安全性的全局组已更改
4751 ----- 已将成员添加到已禁用安全性的全局组中
4752 ----- 成员已从禁用安全性的全局组中删除
4753 ----- 已删除安全性已禁用的全局组
4754 ----- 已创建启用安全性的通用组
4755 ----- 启用安全性的通用组已更改
4756 ----- 已将成员添加到启用安全性的通用组中
4757 ----- 成员已从启用安全性的通用组中删除
4758 ----- 已删除启用安全性的通用组
4759 ----- 创建了一个安全禁用的通用组
4760 ----- 安全性已禁用的通用组已更改
4761 ----- 已将成员添加到已禁用安全性的通用组中
4762 ----- 成员已从禁用安全性的通用组中删除
4763 ----- 已删除安全性已禁用的通用组
4764 ----- 组类型已更改
4765 ----- SID历史记录已添加到帐户中
4766 ----- 尝试将SID历史记录添加到帐户失败
4767 ----- 用户帐户已解锁
4768 ----- 请求了Kerberos身份验证票证(TGT)
4769 ----- 请求了Kerberos服务票证
4770 ----- 更新了Kerberos服务票证
4771 ----- Kerberos预身份验证失败
4772 ----- Kerberos身份验证票证请求失败
4773 ----- Kerberos服务票证请求失败
4774 ----- 已映射帐户以进行登录
4775 ----- 无法映射帐户以进行登录
4776 ----- 域控制器尝试验证帐户的凭据
4777 ----- 域控制器无法验证帐户的凭据
4778 ----- 会话重新连接到Window Station
4779 ----- 会话已与Window Station断开连接
4780 ----- ACL是在作为管理员组成员的帐户上设置的
4781 ----- 帐户名称已更改
4782 ----- 密码哈希帐户被访问
4783 ----- 创建了一个基本应用程序组
4784 ----- 基本应用程序组已更改
4785 ----- 成员已添加到基本应用程序组
4786 ----- 成员已从基本应用程序组中删除
4787 ----- 非成员已添加到基本应用程序组
4788 ----- 从基本应用程序组中删除了非成员。
4789 ----- 基本应用程序组已删除
4790 ----- 已创建LDAP查询组
4791 ----- 基本应用程序组已更改
4792 ----- LDAP查询组已删除
4793 ----- 密码策略检查API已被调用
4794 ----- 尝试设置目录服务还原模式管理员密码
4797 ----- 试图查询帐户是否存在空白密码
4798 ----- 枚举了用户的本地组成员身份。
4799 ----- 已枚举启用安全性的本地组成员身份
4800 ----- 工作站已锁定
4801 ----- 工作站已解锁
4802 ----- 屏幕保护程序被调用
4803 ----- 屏幕保护程序被解雇了
4816 ----- RPC在解密传入消息时检测到完整性违规
4817 ----- 对象的审核设置已更改。
4818 ----- 建议的中央访问策略不授予与当前中央访问策略相同的访问权限
4819 ----- 计算机上的中央访问策略已更改
4820 ----- Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
4821 ----- Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
4822 ----- NTLM身份验证失败,因为该帐户是受保护用户组的成员
4823 ----- NTLM身份验证失败,因为需要访问控制限制
4824 ----- 使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
4825 ----- 用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
Desktop Users组或Administrators组的成员时才允许用户进行连接
4826 ----- 加载引导配置数据
4830 ----- SID历史记录已从帐户中删除
4864 ----- 检测到名称空间冲突
4865 ----- 添加了受信任的林信息条目
4866 ----- 已删除受信任的林信息条目
4867 ----- 已修改受信任的林信息条目
4868 ----- 证书管理器拒绝了挂起的证书请求
4869 ----- 证书服务收到重新提交的证书请求
4870 ----- 证书服务撤销了证书
4871 ----- 证书服务收到发布证书吊销列表(CRL)的请求
4872 ----- 证书服务发布证书吊销列表(CRL)
4873 ----- 证书申请延期已更改
4874 ----- 一个或多个证书请求属性已更改。
4875 ----- 证书服务收到关闭请求
4876 ----- 证书服务备份已启动
4877 ----- 证书服务备份已完成
4878 ----- 证书服务还原已开始
4879 ----- 证书服务恢复已完成
4880 ----- 证书服务已启动
4881 ----- 证书服务已停止
4882 ----- 证书服务的安全权限已更改
4883 ----- 证书服务检索到存档密钥
4884 ----- 证书服务将证书导入其数据库
4885 ----- 证书服务的审核筛选器已更改
4886 ----- 证书服务收到证书请求
4887 ----- 证书服务批准了证书请求并颁发了证书
4888 ----- 证书服务拒绝了证书请求
4889 ----- 证书服务将证书请求的状态设置为挂起
4890 ----- 证书服务的证书管理器设置已更改。
4891 ----- 证书服务中的配置条目已更改
4892 ----- 证书服务的属性已更改
4893 ----- 证书服务存档密钥
4894 ----- 证书服务导入并存档了一个密钥
4895 ----- 证书服务将CA证书发布到Active Directory域服务
4896 ----- 已从证书数据库中删除一行或多行
4897 ----- 启用角色分离
4898 ----- 证书服务加载了一个模板
4899 ----- 证书服务模板已更新
4900 ----- 证书服务模板安全性已更新
4902 ----- 已创建每用户审核策略表
4904 ----- 尝试注册安全事件源
4905 ----- 尝试取消注册安全事件源
4906 ----- CrashOnAuditFail值已更改
4907 ----- 对象的审核设置已更改
4908 ----- 特殊组登录表已修改
4909 ----- TBS的本地策略设置已更改
4910 ----- TBS的组策略设置已更改
4911 ----- 对象的资源属性已更改
4912 ----- 每用户审核策略已更改
4913 ----- 对象的中央访问策略已更改
4928 ----- 建立了Active Directory副本源命名上下文
4929 ----- 已删除Active Directory副本源命名上下文
4930 ----- 已修改Active Directory副本源命名上下文
4931 ----- 已修改Active Directory副本目标命名上下文
4932 ----- 已开始同步Active Directory命名上下文的副本
4933 ----- Active Directory命名上下文的副本的同步已结束
4934 ----- 已复制Active Directory对象的属性
4935 ----- 复制失败开始
4936 ----- 复制失败结束
4937 ----- 从副本中删除了一个延迟对象
4944 ----- Windows防火墙启动时,以下策略处于活动状态
4945 ----- Windows防火墙启动时列出了规则
4946 ----- 已对Windows防火墙例外列表进行了更改。增加了一条规则
4947 ----- 已对Windows防火墙例外列表进行了更改。规则被修改了
4948 ----- 已对Windows防火墙例外列表进行了更改。规则已删除
4949 ----- Windows防火墙设置已恢复为默认值
4950 ----- Windows防火墙设置已更改
4951 ----- 规则已被忽略,因为Windows防火墙无法识别其主要版本号
4952 ----- 已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
4953 ----- Windows防火墙已忽略规则,因为它无法解析规则
4954 ----- Windows防火墙组策略设置已更改。已应用新设置
4956 ----- Windows防火墙已更改活动配置文件
4957 ----- Windows防火墙未应用以下规则
4958 ----- Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
4960 ----- IPsec丢弃了未通过完整性检查的入站数据包
4961 ----- IPsec丢弃了重放检查失败的入站数据包
4962 ----- IPsec丢弃了重放检查失败的入站数据包
4963 ----- IPsec丢弃了应该受到保护的入站明文数据包
4964 ----- 特殊组已分配给新登录
4965 ----- IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
4976 ----- 在主模式协商期间,IPsec收到无效的协商数据包。
4977 ----- 在快速模式协商期间,IPsec收到无效的协商数据包。
4978 ----- 在扩展模式协商期间,IPsec收到无效的协商数据包。
4979 ----- 建立了IPsec主模式和扩展模式安全关联。
4980 ----- 建立了IPsec主模式和扩展模式安全关联
4981 ----- 建立了IPsec主模式和扩展模式安全关联
4982 ----- 建立了IPsec主模式和扩展模式安全关联
4983 ----- IPsec扩展模式协商失败
4984 ----- IPsec扩展模式协商失败
4985 ----- 交易状态已发生变化
5024 ----- Windows防火墙服务已成功启动
5025 ----- Windows防火墙服务已停止
5027 ----- Windows防火墙服务无法从本地存储中检索安全策略
5028 ----- Windows防火墙服务无法解析新的安全策略。
5029 ----- Windows防火墙服务无法初始化驱动程序
5030 ----- Windows防火墙服务无法启动
5031 ----- Windows防火墙服务阻止应用程序接受网络上的传入连接。
5032 ----- Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
5033 ----- Windows防火墙驱动程序已成功启动
5034 ----- Windows防火墙驱动程序已停止
5035 ----- Windows防火墙驱动程序无法启动
5037 ----- Windows防火墙驱动程序检测到严重的运行时错 终止
5038 ----- 代码完整性确定文件的图像哈希无效
5039 ----- 注册表项已虚拟化。
5040 ----- 已对IPsec设置进行了更改。添加了身份验证集。
5041 ----- 已对IPsec设置进行了更改。身份验证集已修改
5042 ----- 已对IPsec设置进行了更改。身份验证集已删除
5043 ----- 已对IPsec设置进行了更改。添加了连接安全规则
5044 ----- 已对IPsec设置进行了更改。连接安全规则已修改
5045 ----- 已对IPsec设置进行了更改。连接安全规则已删除
5046 ----- 已对IPsec设置进行了更改。添加了加密集
5047 ----- 已对IPsec设置进行了更改。加密集已被修改
5048 ----- 已对IPsec设置进行了更改。加密集已删除
5049 ----- IPsec安全关联已删除
5050 ----- 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
5051 ----- 文件已虚拟化
5056 ----- 进行了密码自检
5057 ----- 加密原语操作失败
5058 ----- 密钥文件操作
5059 ----- 密钥迁移操作
5060 ----- 验证操作失败
5061 ----- 加密操作
5062 ----- 进行了内核模式加密自检
5063 ----- 尝试了加密提供程序操作
5064 ----- 尝试了加密上下文操作
5065 ----- 尝试了加密上下文修改
5066 ----- 尝试了加密功能操作
5067 ----- 尝试了加密功能修改
5068 ----- 尝试了加密函数提供程序操作
5069 ----- 尝试了加密函数属性操作
5070 ----- 尝试了加密函数属性操作
5071 ----- Microsoft密钥分发服务拒绝密钥访问
5120 ----- OCSP响应程序服务已启动
5121 ----- OCSP响应程序服务已停止
5122 ----- OCSP响应程序服务中的配置条目已更改
5123 ----- OCSP响应程序服务中的配置条目已更改
5124 ----- 在OCSP Responder Service上更新了安全设置
5125 ----- 请求已提交给OCSP Responder Service
5126 ----- 签名证书由OCSP Responder Service自动更新
5127 ----- OCSP吊销提供商成功更新了吊销信息
5136 ----- 目录服务对象已修改
5137 ----- 已创建目录服务对象
5138 ----- 目录服务对象已取消删除
5139 ----- 已移动目录服务对象
5140 ----- 访问了网络共享对象
5141 ----- 目录服务对象已删除
5142 ----- 添加了网络共享对象。
5143 ----- 网络共享对象已被修改
5144 ----- 网络共享对象已删除。
5145 ----- 检查网络共享对象以查看是否可以向客户端授予所需的访问权限
5146 ----- Windows筛选平台已阻止数据包
5147 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
5148 ----- Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
5149 ----- DoS攻击已经消退,正常处理正在恢复。
5150 ----- Windows筛选平台已阻止数据包。
5151 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包。
5152 ----- Windows筛选平台阻止了数据包
5153 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
5154 ----- Windows过滤平台允许应用程序或服务在端口上侦听传入连接
5155 ----- Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
5156 ----- Windows筛选平台允许连接
5157 ----- Windows筛选平台已阻止连接
5158 ----- Windows筛选平台允许绑定到本地端口
5159 ----- Windows筛选平台已阻止绑定到本地端口
5168 ----- SMB / SMB2的Spn检查失败。
5169 ----- 目录服务对象已修改
5170 ----- 在后台清理任务期间修改了目录服务对象
5376 ----- 已备份凭据管理器凭据
5377 ----- Credential Manager凭据已从备份还原
5378 ----- 策略不允许请求的凭据委派
5440 ----- Windows筛选平台基本筛选引擎启动时出现以下callout
5441 ----- Windows筛选平台基本筛选引擎启动时存在以下筛选器
5442 ----- Windows筛选平台基本筛选引擎启动时,存在以下提供程序
5443 ----- Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
5444 ----- Windows筛选平台基本筛选引擎启动时,存在以下子层
5446 ----- Windows筛选平台标注已更改
5447 ----- Windows筛选平台筛选器已更改
5448 ----- Windows筛选平台提供程序已更改
5449 ----- Windows筛选平台提供程序上下文已更改
5450 ----- Windows筛选平台子层已更改
5451 ----- 建立了IPsec快速模式安全关联
5452 ----- IPsec快速模式安全关联已结束
5453 ----- 与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP IPsec密钥模块(IKEEXT)服务
5456 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略
5457 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略
5458 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本
5459 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本
5460 ----- PAStore引擎在计算机上应用了本地注册表存储IPsec策略
5461 ----- PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
5462 ----- PAStore引擎无法在计算机上应用某些活动IPsec策略规则
5463 ----- PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
5465 ----- PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
IPsec策略的缓存副本
5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
5468 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
5471 ----- PAStore引擎在计算机上加载了本地存储IPsec策略
5472 ----- PAStore引擎无法在计算机上加载本地存储IPsec策略
5473 ----- PAStore引擎在计算机上加载了目录存储IPsec策略
5474 ----- PAStore引擎无法在计算机上加载目录存储IPsec策略
5477 ----- PAStore引擎无法添加快速模式过滤器
5478 ----- IPsec服务已成功启动
5479 ----- IPsec服务已成功关闭
5480 ----- IPsec服务无法获取计算机上的完整网络接口列表
5483 ----- IPsec服务无法初始化RPC服务器。无法启动IPsec服务
5484 ----- IPsec服务遇到严重故障并已关闭
5485 ----- IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
5632 ----- 已请求对无线网络进行身份验证
5633 ----- 已请求对有线网络进行身份验证
5712 ----- 尝试了远程过程调用(RPC)
5888 ----- COM +目录中的对象已被修改
5889 ----- 从COM +目录中删除了一个对象
5890 ----- 一个对象已添加到COM +目录中
6144 ----- 组策略对象中的安全策略已成功应用
6145 ----- 处理组策略对象中的安全策略时发生一个或多个错误
6272 ----- 网络策略服务器授予用户访问权限
6273 ----- 网络策略服务器拒绝访问用户
6274 ----- 网络策略服务器放弃了对用户的请求
6275 ----- 网络策略服务器放弃了用户的记帐请求
6276 ----- 网络策略服务器隔离了用户
6277 ----- 网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
6278 ----- 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
6279 ----- 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
6280 ----- 网络策略服务器解锁了用户帐户
6281 ----- 代码完整性确定图像文件的页面哈希值无效...
6400 ----- BranchCache:在发现内容可用性时收到格式错误的响应。
6401 ----- BranchCache:从对等方收到无效数据。数据被丢弃。
6402 ----- BranchCache:提供数据的托管缓存的消息格式不正确。
6403 ----- BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
6404 ----- BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
6405 ----- BranchCache:发生了事件ID%1的%2个实例。
6406 ----- %1注册到Windows防火墙以控制以下过滤:
6408 ----- 已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
6409 ----- BranchCache:无法解析服务连接点对象
6410 ----- 代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
6416 ----- 系统识别出新的外部设备。
6417 ----- FIPS模式加密自检成功
6418 ----- FIPS模式加密自检失败
6419 ----- 发出了禁用设备的请求
6420 ----- 设备已禁用
6421 ----- 已发出请求以启用设备
6422 ----- 设备已启用
6423 ----- 系统策略禁止安装此设备
6424 ----- 在事先被政策禁止之后,允许安装此设备
8191 ----- 最高系统定义的审计消息值