Windows 事件 ID 对照表 |
|
| 作者:[佚名] - 发布:2011-12-7 11:27:51 - 来源:无忧技术网 |
| 帐户登录事件 |
描述 |
| 672 |
已成功发布并确认验证服务 (AS) 票证。 |
| 673 |
已授予票证授予服务 (TGS) 票证。 |
| 674 |
安全主体续订 AS 票证或 TGS 票证。 |
| 675 |
预身份验证失败。当用户键入不正确的密码时,将在密钥发行中心 (KDC) 上生成该事件。 |
| 676 |
身份验证票证请求失败。在 Windows XP 或 Windows Server 2003 家族产品中不会生成该事件。 |
| 677 |
不授予 TGS 票证。在 Windows XP 或 Windows Server 2003 家族产品中不会生成该事件。 |
| 678 |
帐户已成功映射到域帐户。 |
| 681 |
登录失败。已尝试使用域帐户登录。在 Windows XP 或 Windows Server 2003 家族产品中不会生成该事件。 |
| 682 |
用户已经重新连接到一个断开的终端服务器会话。 |
| 683 |
用户在没有注销的情况下与某个终端服务器会话断开连接。 |
| 帐户管理事件 |
描述 |
| 624 |
已创建用户帐户。 |
| 627 |
已更改用户密码。 |
| 628 |
已设置用户密码。 |
| 630 |
已删除用户帐户。 |
| 631 |
已创建全局组。 |
| 632 |
已将成员添加到全局组。 |
| 633 |
已从全局组删除成员。 |
| 634 |
已删除全局组。 |
| 635 |
已创建新的本地组。 |
| 636 |
已将成员添加到本地组。 |
| 637 |
已从本地组删除成员。 |
| 638 |
已删除本地组。 |
| 639 |
已更改本地组帐户。 |
| 641 |
已更改全局组帐户。 |
| 642 |
已更改用户帐户。 |
| 643 |
已修改域策略。 |
| 644 |
已自动锁定用户帐户。 |
| 645 |
已创建计算机帐户。 |
| 646 |
已更改计算机帐户。 |
| 647 |
已删除计算机帐户。 |
| 648 |
已创建禁用安全的本地安全组。 注意
- 正式名称中的 SECURITY_DISABLED 意味着不能使用该组在访问权限检查中进行授权。
|
| 649 |
已更改禁用安全的本地安全组。 |
| 650 |
已将成员添加到禁用安全的本地安全组。 |
| 651 |
已经从禁用安全的本地安全组中删除成员。 |
| 652 |
已删除禁用安全的本地组。 |
| 653 |
已创建禁用安全的全局组。 |
| 654 |
已更改禁用安全的全局组。 |
| 655 |
已将成员添加到禁用安全的全局组。 |
| 656 |
已从禁用安全的全局组中删除成员。 |
| 657 |
已删除禁用安全的全局组。 |
| 658 |
已创建启用安全的通用组。 |
| 659 |
已更改启用安全的通用组。 |
| 660 |
已将成员添加到启用安全的通用组。 |
| 661 |
已从启用安全的通用组中删除成员。 |
| 662 |
已删除启用安全的通用组。 |
| 663 |
已创建禁用安全的通用组。 |
| 664 |
已更改禁用安全的通用组。 |
| 665 |
已将成员添加到禁用安全的通用组。 |
| 666 |
已从禁用安全的通用组中删除成员。 |
| 667 |
已删除禁用安全的通用组。 |
| 668 |
已更改组类型。 |
| 684 |
设置管理组中成员的安全描述符。 注意
- 注意:域控制器上的一个后台线程每 60 分钟搜索一次管理组中的所有成员(例如域、企业和计划管理员)并对这些成员应用固定的安全描述符。已记录该事件。
|
| 685 |
已更改帐户名称。 |
| 目录服务访问事件 |
描述 |
| 566 |
发生一般对象操作。 |
| 登录事件 |
描述 |
| 528 |
用户已成功登录计算机。有关登录类型的相关信息,请参阅下面的登录类型表。 |
| 529 |
登录失败。尝试使用未知用户名或密码无效的已知用户名登录。 |
| 530 |
登录失败。用户帐户尝试在允许的登录时间之外登录。 |
| 531 |
登录失败。尝试使用禁用的帐户登录。 |
| 532 |
登录失败。尝试使用过期的帐户登录。 |
| 533 |
登录失败。尝试使用被禁止登录该计算机的用户帐户登录。 |
| 534 |
登录失败。用户尝试使用被禁止的登录类型登录。 |
| 535 |
登录失败。指定的帐户密码已过期。 |
| 536 |
登录失败。未激活网络登录服务。 |
| 537 |
登录失败。由于其他原因致使尝试登录失败。 注意
|
| 538 |
完成某个用户的注销过程。 |
| 539 |
登录失败。尝试登录时已锁定该帐户。 |
| 540 |
用户已成功登录到网络。 |
| 541 |
主模式 Internet 密钥交换 (IKE) 验证已在本地计算机和列出的对等客户端身份之间完成(建立安全联系),或者快速模式已建立一个数据信道。 |
| 542 |
已终止数据信道。 |
| 543 |
主模式已终止。 注意
- 在安全关联过期(默认为 8 个小时)、策略更改或对等客户端终止时可能出现此错误。
|
| 544 |
主模式身份验证失败是由于对等客户端没有提供有效证书,或者是没有经过验证的签名。 |
| 545 |
主模式身份验证失败是由于 Kerberos 失败或密码无效。 |
| 546 |
由于对等客户端发送无效的建议,因此未能建立 IKE 安全关联。接收到的数据包含有无效数据。 |
| 547 |
IKE 握手期间出现故障。 |
| 548 |
登录失败。受信任域中的安全 ID (SID) 与客户端的帐户域 SID 不匹配。 |
| 549 |
登录失败。在林中进行身份验证期间,所有与不受信任的命名空间相对应的 SID 都被筛选掉。 |
| 550 |
指示可能发生的拒绝服务攻击的通知消息。 |
| 551 |
用户启动注销过程。 |
| 552 |
当用户已经以不同用户身份登录时,可使用显式凭据成功登录到计算机。 |
| 682 |
用户已经重新连接到一个断开的终端服务器会话。 |
| 683 |
用户在没有注销的情况下与某个终端服务器会话断开连接。 注意
- 当用户通过网络连接到终端服务器会话时,将产生该事件。该事件出现在终端服务器上。
|
| 记录 528 事件时,同时在事件日志中列出登录类型。下表描述了每种登录类型。 |
| 登录类型 |
登录标题 |
描述 |
| 2 |
交互 |
用户已登录到该计算机。 |
| 3 |
网络 |
用户或计算机从网络登录到该计算机。 |
| 4 |
批处理 |
批服务器使用批登录类型,对于这种登录类型,服务器代表用户执行登录过程,而无需用户直接参与。 |
| 5 |
服务 |
通过服务控制管理器启动服务。 |
| 7 |
解锁 |
该工作站已解锁。 |
| 8 |
网络明文 |
用户从网络登录到该计算机。用户密码以解哈希运算形式传递到身份验证包中。在通过网络发送包之前,内置的身份验证功能对所有哈希凭据进行打包。这些凭据不以纯文本(也叫明文)方式在网络中传输。 |
| 9 |
新凭据 |
呼叫方克隆当前令牌并指定出站连接的新凭据。新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。 |
| 10 |
远程交互式登录 |
用户使用终端服务或远程桌面远程登录该计算机。 |
| 11 |
缓存交互式登录 |
用户使用存储在本地计算机上的网络凭据登录该计算机。无法连接域控制器验证凭据。 |
| 对象访问事件 |
描述 |
| 560 |
允许访问一个已存在的对象。 |
| 562 |
已关闭对象句柄。 |
| 563 |
尝试打开准备删除的对象。 注意
- 当在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 标记时,文件系统将使用它。
|
| 564 |
已删除受保护的对象。 |
| 565 |
允许访问一个已存在的对象类型。 |
| 567 |
已使用与句柄相关的权限。 注意
- 已创建具有某些权限的句柄(读取、写入等等)。当使用句柄时,为使用的每个权限最多生成一个审核。
|
| 568 |
尝试创建正在被审核的文件的硬链接。 |
| 569 |
“授权管理器”中的资源管理器尝试创建一个客户端上下文。 |
| 570 |
客户端尝试访问一个对象。 注意
|
| 571 |
客户端上下文已被“授权管理器”应用程序删除。 |
| 572 |
管理员管理器初始化该应用程序。 |
| 772 |
证书管理器已拒绝挂起的证书请求。 |
| 773 |
“证书服务”收到重新提交的证书请求。 |
| 774 |
“证书服务”已吊销证书。 |
| 775 |
“证书服务”收到发行证书吊销列表 (CRL) 的请求。 |
| 776 |
“证书服务”已发行证书吊销列表 (CRL)。 |
| 777 |
已生成证书请求扩展。 |
| 778 |
已更改一个或多个证书请求属性。 |
| 779 |
“证书服务”已接收到关闭请求。 |
| 780 |
“证书服务”备份已经开始。 |
| 781 |
“证书服务”备份已完成。 |
| 782 |
“证书服务”还原已开始。 |
| 783 |
“证书服务”还原已完成。 |
| 784 |
“证书服务”已开始。 |
| 785 |
“证书服务”已停止。 |
| 786 |
“证书服务”安全权限已更改。 |
| 787 |
“证书服务”检索到存档密钥。 |
| 788 |
“证书服务”已将证书导入它的数据库。 |
| 789 |
“证书服务”审核筛选器已更改。 |
| 790 |
“证书服务”已接收到证书请求。 |
| 791 |
“证书服务”已批准证书请求并发行证书。 |
| 792 |
“证书服务”已拒绝证书请求。 |
| 793 |
“证书服务”将证书请求状态设置为搁置。 |
| 794 |
“证书服务”的证书管理器设置已更改。 |
| 795 |
“证书服务”中的配置项已更改。 |
| 796 |
“证书服务”的某项属性已更改。 |
| 797 |
“证书服务”已存档密钥。 |
| 798 |
“证书服务”已导入并存档密钥。 |
| 799 |
“证书服务”已将 CA 证书发行到 Active Directory。 |
| 800 |
已经从证书数据库中删除一行或多行。 |
| 801 |
已启用角色分离。 |
| 策略更改事件 |
描述 |
| 608 |
已分配用户权利。 |
| 609 |
已删除用户权利。 |
| 610 |
已创建与其他域的信任关系。 |
| 611 |
已删除与其他域的信任关系。 |
| 612 |
已更改审核策略。 |
| 613 |
已启用 Internet 协议安全性 (IPSec) 策略代理。 |
| 614 |
已禁用 IPSec 策略代理。 |
| 615 |
已更改 IPSec 策略代理。 |
| 616 |
IPSec 策略代理可能遇到严重失败。 |
| 617 |
已更改 Kerberos 策略。 |
| 618 |
已更改“加密数据恢复”策略。 |
| 620 |
已修改与另一个域的信任关系。 |
| 621 |
已授予某个帐户系统访问权限。 |
| 622 |
已删除某个帐户的系统访问权限。 |
| 623 |
为用户设置每个用户审核策略。 有关每用户选择性审核的信息,请参阅Per-user selective auditing。 |
| 625 |
已刷新每用户审核策略。 |
| 768 |
已检测到一个林中的名称空间元素与另一个林中的名称空间元素之间存在冲突。 注意
- 当林中的名称空间元素与另一个林中的名称空间元素重叠时,可能会导致无法明确解析属于名称空间元素之一的名称。这种重叠也称为冲突。对每一个条目类型来讲,并非所有的参数都有效。例如,DNS 名称、NetBIOS 名称和 SID 这类字段对于“TopLevelName”类型的条目无效。
|
| 769 |
已添加受信任的林信息。 注意
- 更新林信任信息并添加一个或多个条目时,将会生成此事件消息。每次添加、删除或修改条目时,都会生成一则事件消息。如果在一次林信任信息的更新时添加、删除或修改多个条目,则生成的所有事件消息都将共用一个名为操作 ID 的唯一标识符。使用该标识符,可以确定生成的多则事件消息是否为单次操作的结果。对每一个条目类型来讲,并非所有的参数都有效。例如,DNS 名称、NetBIOS 名称和 SID 这类参数对于“TopLevelName”类型的条目无效。
|
| 770 |
已删除受信任的林信息。 注意
|
| 771 |
已修改受信任的林信息。 注意
|
| 805 |
该事件日志服务读取会话的安全日志配置。 |
| 特权使用事件 |
描述 |
| 576 |
指定的特权被添加到用户的访问令牌中。 注意
|
| 577 |
用户尝试执行一个享受特权的系统服务操作。 |
| 578 |
特权被用在已经打开的受保护对象的句柄上。 |
| 过程跟踪事件 |
事件描述 |
| 592 |
已创建一个新的进程。 |
| 593 |
进程已退出。 |
| 594 |
已复制对象的句柄。 |
| 595 |
已获得对象的间接访问。 |
| 596 |
已备份数据保护主密钥。 注意
- 主密钥由 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS) 使用。每当创建新的主密钥时都对其进行备份。(默认设置为 90 天。)密钥通常备份到域控制器。
|
| 597 |
从恢复服务器恢复数据保护主密钥。 |
| 598 |
已保护可审核的数据。 |
| 599 |
可审核的数据未受保护。 |
| 600 |
向主令牌指派一个进程。 |
| 601 |
用户尝试安装服务。 |
| 602 |
创建一个计划程序任务。 |
| 系统事件消息 |
描述 |
| 512 |
正在启动 Windows。 |
| 513 |
正在关闭 Windows。 |
| 514 |
通过“本地安全机构”装载身份验证包。 |
| 515 |
受信任的登录进程已注册“本地安全机构”。 |
| 516 |
为安全事件消息队列分配的内部资源已用尽,将导致某些安全事件信息的丢失。 |
| 517 |
审核日志已被清除。 |
| 518 |
通知程序包已通过“安全帐户管理器”加载。 |
| 519 |
进程使用一个无效的本地过程调用 (LPC) 端口尝试模拟客户端并答复,或者读取或写入一个客户地址空间。 |
| 520 |
系统时间已被更改。 注意
|
|
| 责任编辑:liqwei |
|
|
| 【打印本页】【关闭本页】【返回列表】 |
·上一篇:让Windows XP自动登录的两种方法
·下一篇:没有了! |
|
| 文章评分 |
|
|
| -5 |
-4 |
-3 |
-2 |
-1 |
0 |
+1 |
+2 |
+3 |
+4 |
+5 |
|
|
|
|
