Windows事件查看器_ID一览表
事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。
事件ID:517 审核日志已经清除
事件ID:528 登陆成功 可以显示客户端连接ip地址
事件ID:683 会话从 winstation 中断连接 可以查看客户端计算机名
事件ID:624 创建了用户帐户
事件ID:626 启用了用户帐户
事件ID:627 用户密码已更改
事件ID:628 设置了用户密码
Windows Server 2003安全事件ID分析
根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。
一、帐户登录事件
下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
672:已成功颁发和验证身份验证服务 (AS) 票证。
673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。
674:安全主体已更新 AS 票证或 TGS 票证。
675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。
676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
678:帐户已成功映射到域帐户。
681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
682:用户已重新连接至已断开的终端服务器会话。
683:用户未注销就断开终端服务器会话。
二、帐户管理事件
下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。
624:用户帐户已创建。
627:用户密码已更改。
628:用户密码已设置。
630:用户帐户已删除。
631:全局组已创建。
632:成员已添加至全局组。
633:成员已从全局组删除。
634:全局组已删除。
635:已新建本地组。
636:成员已添加至本地组。
637:成员已从本地组删除。
638:本地组已删除。
639:本地组帐户已更改。
641:全局组帐户已更改。
642:用户帐户已更改。
643:域策略已修改。
644:用户帐户被自动锁定。
645:计算机帐户已创建。
646:计算机帐户已更改。
647:计算机帐户已删除。
648:禁用安全的本地安全组已创建。
注意:
从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。
649:禁用安全的本地安全组已更改。
650:成员已添加至禁用安全的本地安全组。
651:成员已从禁用安全的本地安全组删除。
652:禁用安全的本地组已删除。
653:禁用安全的全局组已创建。
654:禁用安全的全局组已更改。
655:成员已添加至禁用安全的全局组。
656:成员已从禁用安全的全局组删除。
657:禁用安全的全局组已删除。
658:启用安全的通用组已创建。
659:启用安全的通用组已更改。
660:成员已添加至启用安全的通用组。
661:成员已从启用安全的通用组删除。
662:启用安全的通用组已删除。
663:禁用安全的通用组已创建。
664:禁用安全的通用组已更改。
665:成员已添加至禁用安全的通用组。
666:成员已从禁用安全的通用组删除。
667:禁用安全的通用组已删除。
668:组类型已更改。
684:管理组成员的安全描述符已设置。
注意:
在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。
685:帐户名称已更改。
三、目录服务访问事件
下面显示了由”审核目录服务访问”安全模板设置所生成的安全事件。
566:发生了一般对象操作。
四、登录事件ID
528:用户成功登录到计算机。
529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。
530:登录失败。试图在允许的时间外登录。
531:登录失败。试图使用禁用的帐户登录。
532:登录失败。试图使用已过期的帐户登录。
533:登录失败。不允许登录到指定计算机的用户试图登录。
534:登录失败。用户试图使用不允许的密码类型登录。
535:登录失败。指定帐户的密码已过期。
536:登录失败。Net Logon 服务没有启动。
537:登录失败。由于其他原因登录尝试失败。
注意:
在某些情况下,登录失败的原因可能是未知的。
538:用户的注销过程已完成。
539:登录失败。试图登录时,该帐户已锁定。
540:用户成功登录到网络。
541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。
542:数据频道已终止。
543:主要模式已终止。
注意:
如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。
544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。
546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。
547:在 IKE 握手过程中,出现错误。
548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。
549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。
550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。
551:用户已启动注销过程。
552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
682:用户已重新连接至已断开的终端服务器会话。
683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。
五、对象访问事件
下面显示了由”审核对象访问”安全模板设置所生成的安全事件。
560:访问权限已授予现有的对象。
562:指向对象的句柄已关闭。
563:试图打开一个对象并打算将其删除。
注意:
当在 Createfile() 中指定了 FILE_Delete_ON_CLOSE 标记时,此事件可以用于文件系统。
564:受保护对象已删除。
565:访问权限已授予现有的对象类型。
567:使用了与句柄关联的权限。
注意:
创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。
568:试图创建与正在审核的文件的硬链接。
569:授权管理器中的资源管理器试图创建客户端上下文。
570:客户端试图访问对象。
注意:
在此对象上发生的每个尝试操作都将生成一个事件。
571:客户端上下文由授权管理器应用程序删除。
572:Administrator Manager(管理员管理器)初始化此应用程序。
772:证书管理器已拒绝挂起的证书申请。
773:证书服务已收到重新提交的证书申请。
774:证书服务已吊销证书。
775:证书服务已收到发行证书吊销列表 (CRL) 的请求。
776:证书服务已发行 CRL。
777:已制定证书申请扩展。
778:已更改多个证书申请属性。
779:证书服务已收到关机请求。
780:已开始证书服务备份。
781:已完成证书服务备份。
782:已开始证书服务还原。
783:已完成证书服务还原。
784:证书服务已开始。
785:证书服务已停止。
786:已更改证书服务的安全权限。
787:证书服务已检索存档密钥。
788:证书服务已将证书导入其数据库中。
789:证书服务审核筛选已更改。
790:证书服务已收到证书申请。
791:证书服务已批准证书申请并已颁发证书。
792:证书服务已拒绝证书申请。
793:证书服务将证书申请状态设为挂起。
794:证书服务的证书管理器设置已更改。
795:证书服务中的配置项已更改。
796:证书服务的属性已更改。
797:证书服务已将密钥存档。
798:证书服务导入密钥并将其存档。
799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。
800:已从证书数据库删除一行或多行。
801:角色分离已启用。
六、审核策略更改事件
下面显示了由”审核策略更改”安全模板设置所生成的安全事件。
608:已分配用户权限。
609:用户权限已删除。
610:与其他域的信任关系已创建。
611:与其他域的信任关系已删除。
612:审核策略已更改。
613:Internet 协议安全 (IPSec) 策略代理已启动。
614:IPSec 策略代理已禁用。
615:IPSec 策略代理已更改。
616:IPSec 策略代理遇到一个可能很严重的故障。
617:Kerberos v5 策略已更改。
618:加密数据恢复策略已更改。
620:与其他域的信任关系已修改。
621:已授予帐户系统访问权限。
622:已删除帐户的系统访问权限。
623:按用户设置审核策略。
625:按用户刷新审核策略。
768:检测到两个林的名称空间元素之间有冲突。
注意:
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。
769:已添加受信任的林信息。
注意:
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删 除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。
770:已删除受信任的林信息。
注意:
请参见事件 769 的事件描述。
771:已修改受信任的林信息。
注意:
请参见事件 769 的事件描述。
805:事件日志服务读取会话的安全日志配置。
七、特权使用事件
下面显示了由”审核特权使用”安全模板设置所生成的安全事件。
576:指定的特权已添加到用户的访问令牌中。
注意:
当用户登录时生成此事件。
577:用户试图执行需要特权的系统服务操作。
578:特权用于已经打开的受保护对象的句柄。
八、详细的跟踪事件
下面显示了由”审核过程跟踪”安全模板设置所生成的安全事件。
592:已创建新进程。
593:进程已退出。
594:对象句柄已复制。
595:已获取对象的间接访问权。
596:数据保护主密钥已备份。
注意:
主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。
597:数据保护主密钥已从恢复服务器恢复。
598:审核过的数据已受保护。
599:审核过的数据未受保护。
600:已分配给进程主令牌。
601:用户试图安装服务。
602:已创建计划程序任务。
九、审核系统事件
下面显示了由”审核系统事件”安全模板设置所生成的系统事件。
512:Windows 正在启动。
513:Windows 正在关机。
514:本地安全机制机构已加载身份验证数据包。
515:受信任的登录过程已经在本地安全机构注册。
516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517:审核日志已清除。
518:安全帐户管理器已加载通知数据包。
519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。
Windows事件查看器_ID一览表相关推荐
- Windows 事件查看器(收集)
事件查看器相当于一本厚厚的系统日志,可以查看关于硬件.软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在"控制面板→管理工具"中找到"事件查看 ...
- 干货 | 最新Windows事件查看器.NET反序列化漏洞分析
0x01 漏洞背景 4月26日@Orange Tsai 在Twitter上发表一个有关Windows事件查看器的反序列化漏洞,可以用来绕过Windows Defender或者ByPass UAC等其它 ...
- 如何在 Windows XP 的事件查看器中查看和管理事件日志
事件查看器 在 Windows XP 中,事件是在系统或程序中发生的.要求通知用户的任何重要事情,或者是添加到日志中的项.事件日志服务在事件查看器中记录应用程序.安全和系统事件.通过 使用事件查看器中 ...
- 使用windows的事件查看器(eventvwr),查看、电脑执行过的你不知道的操作・开机・关机时间
■前言 今天单位电脑开机之后,Chrome浏览器突然消失了. 通过事件查看器发现,开机系统启动了一个power的程序, (在[事件查看器] ⇒[应用程序和服务日志] ⇒ [windows powers ...
- 服务器事件查看器根据登录id如何查找信息,Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID...
概述 在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选.常见的日志有: 4634 - 帐户被注销 4647 - 用户发起注销 4624 - 帐户已成功登录(可以查看 ...
- 使用事件查看器进行windows补丁安装状态确认
windows补丁安装完成之后无论成功与否都会有补丁的安装记录,如何确认是否安装成功呢?这里给大家分享其中一种利用事件查看器,查看补丁是否安装成功的办法. 1.win+r调出运行,输入eventvwr ...
- Windows Server 2019或2016 无法运行服务器管理器、控制面板部分功能、事件查看器等解决办法
问题: 将 Windows Server 2019或2016 .NET Framework移除. IIS卸载后,服务器管理器.控制面板部分功能.事件查看器等都无法正常开启. 解决: 打开CMD,输入D ...
- 使用批处理for命令清除事件查看器所有Windows EventLog日志
修改自http://www.codeweblog.com/使用批处理清除事件查看器所有windows-eventlog日志的代码/ @ECHO OFF TITLE 清除所有事件查看器里看到的Event ...
- 巧用事件查看器维护服务器安全
巧用事件查看器维护服务器安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...
最新文章
- 哪些人适合学习web前端?
- Strongswan — IPSec 的 Linux 软件实现
- 如何保证高可用?java测试工程师测试的方法
- 找到多个与名为“Home”的控制器匹配的类型
- 多区域显示(8)-透明花边
- mvn项目Quartz简单上手
- mysql将sql转为关系代数_关系数据库基础:关系代数运算知识笔记
- KEIL编译生成bin文件,并输出内存使用情况
- LeetCode 363. 矩形区域不超过 K 的最大数值和(DP+set二分查找)
- python-面向对向-实例方法的继承
- 详解jenkins几个有用的插件如何使用(emma,findbugs)
- eclipse 项目导入时报错invalid project description
- C# 委托与事件(delegate)
- mysql获取变量_获取Mysql的状态、变量
- 计算机音乐蜗牛与黄鹂鸟,音乐教材《蜗牛与黄鹂鸟》教案
- 聚焦数字经济新基建,复杂美再获认可
- vcode去除分号和双引号方法
- 2018年回顾和收获
- Java开发实用工具
- 冷冻电镜聚类中心(2D Class)粒子图像的解析
热门文章
- PY:工资项目的配置、属性及分类?
- DEVONthink + Notion 搭建一个完美的知识管理体系
- 更高检测灵敏度的谷氨酰胺测定试剂盒
- ajax仿百度搜索效果,利用autocomplete.js实现仿百度搜索效果(ajax动态获取后端[C#]数据)...
- 【华为Atlas人工智能计算平台概述】
- 如何找到网站后台管理网页地址
- Arduino驱动直流电机风扇
- android studio开发环境搭建,国内服务器代理下载android sdk
- 野百合的春天 ——布鲁斯鲍文
- ANDROID物联网开发从入门到实战附源码