Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。
ID | 安全事件信息 |
1100 | 事件记录服务已关闭 |
1101 | 审计事件已被运输中断。 |
1102 | 审核日志已清除 |
1104 | 安全日志现已满 |
1105 | 事件日志自动备份 |
1108 | 事件日志记录服务遇到错误 |
4608 | Windows正在启动 |
4609 | Windows正在关闭 |
4610 | 本地安全机构已加载身份验证包 |
4611 | 已向本地安全机构注册了受信任的登录进程 |
4612 | 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。 |
4614 | 安全帐户管理器已加载通知包。 |
4615 | LPC端口使用无效 |
4616 | 系统时间已更改。 |
4618 | 已发生受监视的安全事件模式 |
4621 | 管理员从CrashOnAuditFail恢复了系统 |
4622 | 本地安全机构已加载安全包。 |
4624 | 帐户已成功登录 |
4625 | 帐户无法登录 |
4626 | 用户/设备声明信息 |
4627 | 集团会员信息。 |
4634 | 帐户已注销 |
4646 | IKE DoS防护模式已启动 |
4647 | 用户启动了注销 |
4648 | 使用显式凭据尝试登录 |
4649 | 检测到重播*** |
4650 | 建立了IPsec主模式安全关联 |
4651 | 建立了IPsec主模式安全关联 |
4652 | IPsec主模式协商失败 |
4653 | IPsec主模式协商失败 |
4654 | IPsec快速模式协商失败 |
4655 | IPsec主模式安全关联已结束 |
4656 | 请求了对象的句柄 |
4657 | 注册表值已修改 |
4658 | 对象的句柄已关闭 |
4659 | 请求删除对象的句柄 |
4660 | 对象已删除 |
4661 | 请求了对象的句柄 |
4662 | 对对象执行了操作 |
4663 | 尝试访问对象 |
4664 | 试图创建一个硬链接 |
4665 | 尝试创建应用程序客户端上下文。 |
4666 | 应用程序尝试了一个操作 |
4667 | 应用程序客户端上下文已删除 |
4668 | 应用程序已初始化 |
4670 | 对象的权限已更改 |
4671 | 应用程序试图通过TBS访问被阻止的序号 |
4672 | 分配给新登录的特权 |
4673 | 特权服务被召唤 |
4674 | 尝试对特权对象执行操作 |
4675 | SID被过滤掉了 |
4688 | 已经创建了一个新流程 |
4689 | 一个过程已经退出 |
4690 | 尝试复制对象的句柄 |
4691 | 请求间接访问对象 |
4692 | 尝试备份数据保护主密钥 |
4693 | 尝试恢复数据保护主密钥 |
4694 | 试图保护可审计的受保护数据 |
4695 | 尝试不受保护的可审计受保护数据 |
4696 | 主要令牌已分配给进程 |
4697 | 系统中安装了一项服务 |
4698 | 已创建计划任务 |
4699 | 计划任务已删除 |
4700 | 已启用计划任务 |
4701 | 计划任务已禁用 |
4702 | 计划任务已更新 |
4703 | 令牌权已经调整 |
4704 | 已分配用户权限 |
4705 | 用户权限已被删除 |
4706 | 为域创建了新的信任 |
4707 | 已删除对域的信任 |
4709 | IPsec服务已启动 |
4710 | IPsec服务已禁用 |
4711 | PAStore引擎(1%) |
4712 | IPsec服务遇到了潜在的严重故障 |
4713 | Kerberos策略已更改 |
4714 | 加密数据恢复策略已更改 |
4715 | 对象的审核策略(SACL)已更改 |
4716 | 可信域信息已被修改 |
4717 | 系统安全访问权限已授予帐户 |
4718 | 系统安全访问已从帐户中删除 |
4719 | 系统审核策略已更改 |
4720 | 已创建用户帐户 |
4722 | 用户帐户已启用 |
4723 | 尝试更改帐户的密码 |
4724 | 尝试重置帐户密码 |
4725 | 用户帐户已被禁用 |
4726 | 用户帐户已删除 |
4727 | 已创建启用安全性的全局组 |
4728 | 已将成员添加到启用安全性的全局组中 |
4729 | 成员已从启用安全性的全局组中删除 |
4730 | 已删除启用安全性的全局组 |
4731 | 已创建启用安全性的本地组 |
4732 | 已将成员添加到启用安全性的本地组 |
4733 | 成员已从启用安全性的本地组中删除 |
4734 | 已删除已启用安全性的本地组 |
4735 | 已启用安全性的本地组已更改 |
4737 | 启用安全性的全局组已更改 |
4738 | 用户帐户已更改 |
4739 | 域策略已更改 |
4740 | 用户帐户已被锁定 |
4741 | 已创建计算机帐户 |
4742 | 计算机帐户已更改 |
4743 | 计算机帐户已删除 |
4744 | 已创建禁用安全性的本地组 |
4745 | 已禁用安全性的本地组已更改 |
4746 | 已将成员添加到已禁用安全性的本地组 |
4747 | 已从安全性已禁用的本地组中删除成员 |
4748 | 已删除安全性已禁用的本地组 |
4749 | 已创建一个禁用安全性的全局组 |
4750 | 已禁用安全性的全局组已更改 |
4751 | 已将成员添加到已禁用安全性的全局组中 |
4752 | 成员已从禁用安全性的全局组中删除 |
4753 | 已删除安全性已禁用的全局组 |
4754 | 已创建启用安全性的通用组 |
4755 | 启用安全性的通用组已更改 |
4756 | 已将成员添加到启用安全性的通用组中 |
4757 | 成员已从启用安全性的通用组中删除 |
4758 | 已删除启用安全性的通用组 |
4759 | 创建了一个安全禁用的通用组 |
4760 | 安全性已禁用的通用组已更改 |
4761 | 已将成员添加到已禁用安全性的通用组中 |
4762 | 成员已从禁用安全性的通用组中删除 |
4763 | 已删除安全性已禁用的通用组 |
4764 | 组类型已更改 |
4765 | SID历史记录已添加到帐户中 |
4766 | 尝试将SID历史记录添加到帐户失败 |
4767 | 用户帐户已解锁 |
4768 | 请求了Kerberos身份验证票证(TGT) |
4769 | 请求了Kerberos服务票证 |
4770 | 更新了Kerberos服务票证 |
4771 | Kerberos预身份验证失败 |
4772 | Kerberos身份验证票证请求失败 |
4773 | Kerberos服务票证请求失败 |
4774 | 已映射帐户以进行登录 |
4775 | 无法映射帐户以进行登录 |
4776 | 域控制器尝试验证帐户的凭据 |
4777 | 域控制器无法验证帐户的凭据 |
4778 | 会话重新连接到Window Station |
4779 | 会话已与Window Station断开连接 |
4780 | ACL是在作为管理员组成员的帐户上设置的 |
4781 | 帐户名称已更改 |
4782 | 密码哈希帐户被访问 |
4783 | 创建了一个基本应用程序组 |
4784 | 基本应用程序组已更改 |
4785 | 成员已添加到基本应用程序组 |
4786 | 成员已从基本应用程序组中删除 |
4787 | 非成员已添加到基本应用程序组 |
4788 | 从基本应用程序组中删除了非成员。 |
4789 | 基本应用程序组已删除 |
4790 | 已创建LDAP查询组 |
4791 | 基本应用程序组已更改 |
4792 | LDAP查询组已删除 |
4793 | 密码策略检查API已被调用 |
4794 | 尝试设置目录服务还原模式管理员密码 |
4797 | 试图查询帐户是否存在空白密码 |
4798 | 枚举了用户的本地组成员身份。 |
4799 | 已枚举启用安全性的本地组成员身份 |
4800 | 工作站已锁定 |
4801 | 工作站已解锁 |
4802 | 屏幕保护程序被调用 |
4803 | 屏幕保护程序被解雇了 |
4816 | RPC在解密传入消息时检测到完整性违规 |
4817 | 对象的审核设置已更改。 |
4818 | 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 |
4819 | 计算机上的中央访问策略已更改 |
4820 | Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制 |
4821 | Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制 |
4822 | NTLM身份验证失败,因为该帐户是受保护用户组的成员 |
4823 | NTLM身份验证失败,因为需要访问控制限制 |
4824 | 使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员 |
4825 | 用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 |
4826 | 加载引导配置数据 |
4830 | SID历史记录已从帐户中删除 |
4864 | 检测到名称空间冲突 |
4865 | 添加了受信任的林信息条目 |
4866 | 已删除受信任的林信息条目 |
4867 | 已修改受信任的林信息条目 |
4868 | 证书管理器拒绝了挂起的证书请求 |
4869 | 证书服务收到重新提交的证书请求 |
4870 | 证书服务撤销了证书 |
4871 | 证书服务收到发布证书吊销列表(CRL)的请求 |
4872 | 证书服务发布证书吊销列表(CRL) |
4873 | 证书申请延期已更改 |
4874 | 一个或多个证书请求属性已更改。 |
4875 | 证书服务收到关闭请求 |
4876 | 证书服务备份已启动 |
4877 | 证书服务备份已完成 |
4878 | 证书服务还原已开始 |
4879 | 证书服务恢复已完成 |
4880 | 证书服务已启动 |
4881 | 证书服务已停止 |
4882 | 证书服务的安全权限已更改 |
4883 | 证书服务检索到存档密钥 |
4884 | 证书服务将证书导入其数据库 |
4885 | 证书服务的审核筛选器已更改 |
4886 | 证书服务收到证书请求 |
4887 | 证书服务批准了证书请求并颁发了证书 |
4888 | 证书服务拒绝了证书请求 |
4889 | 证书服务将证书请求的状态设置为挂起 |
4890 | 证书服务的证书管理器设置已更改。 |
4891 | 证书服务中的配置条目已更改 |
4892 | 证书服务的属性已更改 |
4893 | 证书服务存档密钥 |
4894 | 证书服务导入并存档了一个密钥 |
4895 | 证书服务将CA证书发布到Active Directory域服务 |
4896 | 已从证书数据库中删除一行或多行 |
4897 | 启用角色分离 |
4898 | 证书服务加载了一个模板 |
4899 | 证书服务模板已更新 |
4900 | 证书服务模板安全性已更新 |
4902 | 已创建每用户审核策略表 |
4904 | 尝试注册安全事件源 |
4905 | 尝试取消注册安全事件源 |
4906 | CrashOnAuditFail值已更改 |
4907 | 对象的审核设置已更改 |
4908 | 特殊组登录表已修改 |
4909 | TBS的本地策略设置已更改 |
4910 | TBS的组策略设置已更改 |
4911 | 对象的资源属性已更改 |
4912 | 每用户审核策略已更改 |
4913 | 对象的中央访问策略已更改 |
4928 | 建立了Active Directory副本源命名上下文 |
4929 | 已删除Active Directory副本源命名上下文 |
4930 | 已修改Active Directory副本源命名上下文 |
4931 | 已修改Active Directory副本目标命名上下文 |
4932 | 已开始同步Active Directory命名上下文的副本 |
4933 | Active Directory命名上下文的副本的同步已结束 |
4934 | 已复制Active Directory对象的属性 |
4935 | 复制失败开始 |
4936 | 复制失败结束 |
4937 | 从副本中删除了一个延迟对象 |
4944 | Windows防火墙启动时,以下策略处于活动状态 |
4945 | Windows防火墙启动时列出了规则 |
4946 | 已对Windows防火墙例外列表进行了更改。增加了一条规则 |
4947 | 已对Windows防火墙例外列表进行了更改。规则被修改了 |
4948 | 已对Windows防火墙例外列表进行了更改。规则已删除 |
4949 | Windows防火墙设置已恢复为默认值 |
4950 | Windows防火墙设置已更改 |
4951 | 规则已被忽略,因为Windows防火墙无法识别其主要版本号 |
4952 | 已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号 |
4953 | Windows防火墙已忽略规则,因为它无法解析规则 |
4954 | Windows防火墙组策略设置已更改。已应用新设置 |
4956 | Windows防火墙已更改活动配置文件 |
4957 | Windows防火墙未应用以下规则 |
4958 | Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目 |
4960 | IPsec丢弃了未通过完整性检查的入站数据包 |
4961 | IPsec丢弃了重放检查失败的入站数据包 |
4962 | IPsec丢弃了重放检查失败的入站数据包 |
4963 | IPsec丢弃了应该受到保护的入站明文数据包 |
4964 | 特殊组已分配给新登录 |
4965 | IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。 |
4976 | 在主模式协商期间,IPsec收到无效的协商数据包。 |
4977 | 在快速模式协商期间,IPsec收到无效的协商数据包。 |
4978 | 在扩展模式协商期间,IPsec收到无效的协商数据包。 |
4979 | 建立了IPsec主模式和扩展模式安全关联。 |
4980 | 建立了IPsec主模式和扩展模式安全关联 |
4981 | 建立了IPsec主模式和扩展模式安全关联 |
4982 | 建立了IPsec主模式和扩展模式安全关联 |
4983 | IPsec扩展模式协商失败 |
4984 | IPsec扩展模式协商失败 |
4985 | 交易状态已发生变化 |
5024 | Windows防火墙服务已成功启动 |
5025 | Windows防火墙服务已停止 |
5027 | Windows防火墙服务无法从本地存储中检索安全策略 |
5028 | Windows防火墙服务无法解析新的安全策略。 |
5029 | Windows防火墙服务无法初始化驱动程序 |
5030 | Windows防火墙服务无法启动 |
5031 | Windows防火墙服务阻止应用程序接受网络上的传入连接。 |
5032 | Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 |
5033 | Windows防火墙驱动程序已成功启动 |
5034 | Windows防火墙驱动程序已停止 |
5035 | Windows防火墙驱动程序无法启动 |
5037 | Windows防火墙驱动程序检测到严重的运行时错 终止 |
5038 | 代码完整性确定文件的图像哈希无效 |
5039 | 注册表项已虚拟化。 |
5040 | 已对IPsec设置进行了更改。添加了身份验证集。 |
5041 | 已对IPsec设置进行了更改。身份验证集已修改 |
5042 | 已对IPsec设置进行了更改。身份验证集已删除 |
5043 | 已对IPsec设置进行了更改。添加了连接安全规则 |
5044 | 已对IPsec设置进行了更改。连接安全规则已修改 |
5045 | 已对IPsec设置进行了更改。连接安全规则已删除 |
5046 | 已对IPsec设置进行了更改。添加了加密集 |
5047 | 已对IPsec设置进行了更改。加密集已被修改 |
5048 | 已对IPsec设置进行了更改。加密集已删除 |
5049 | IPsec安全关联已删除 |
5050 | 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE |
5051 | 文件已虚拟化 |
5056 | 进行了密码自检 |
5057 | 加密原语操作失败 |
5058 | 密钥文件操作 |
5059 | 密钥迁移操作 |
5060 | 验证操作失败 |
5061 | 加密操作 |
5062 | 进行了内核模式加密自检 |
5063 | 尝试了加密提供程序操作 |
5064 | 尝试了加密上下文操作 |
5065 | 尝试了加密上下文修改 |
5066 | 尝试了加密功能操作 |
5067 | 尝试了加密功能修改 |
5068 | 尝试了加密函数提供程序操作 |
5069 | 尝试了加密函数属性操作 |
5070 | 尝试了加密函数属性操作 |
5071 | Microsoft密钥分发服务拒绝密钥访问 |
5120 | OCSP响应程序服务已启动 |
5121 | OCSP响应程序服务已停止 |
5122 | OCSP响应程序服务中的配置条目已更改 |
5123 | OCSP响应程序服务中的配置条目已更改 |
5124 | 在OCSP Responder Service上更新了安全设置 |
5125 | 请求已提交给OCSP Responder Service |
5126 | 签名证书由OCSP Responder Service自动更新 |
5127 | OCSP吊销提供商成功更新了吊销信息 |
5136 | 目录服务对象已修改 |
5137 | 已创建目录服务对象 |
5138 | 目录服务对象已取消删除 |
5139 | 已移动目录服务对象 |
5140 | 访问了网络共享对象 |
5141 | 目录服务对象已删除 |
5142 | 添加了网络共享对象。 |
5143 | 网络共享对象已被修改 |
5144 | 网络共享对象已删除。 |
5145 | 检查网络共享对象以查看是否可以向客户端授予所需的访问权限 |
5146 | Windows筛选平台已阻止数据包 |
5147 | 限制性更强的Windows筛选平台筛选器阻止了数据包 |
5148 | Windows过滤平台检测到DoS***并进入防御模式; 与此***相关的数据包将被丢弃。 |
5149 | DoS***已经消退,正常处理正在恢复。 |
5150 | Windows筛选平台已阻止数据包。 |
5151 | 限制性更强的Windows筛选平台筛选器阻止了数据包。 |
5152 | Windows筛选平台阻止了数据包 |
5153 | 限制性更强的Windows筛选平台筛选器阻止了数据包 |
5154 | Windows过滤平台允许应用程序或服务在端口上侦听传入连接 |
5155 | Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接 |
5156 | Windows筛选平台允许连接 |
5157 | Windows筛选平台已阻止连接 |
5158 | Windows筛选平台允许绑定到本地端口 |
5159 | Windows筛选平台已阻止绑定到本地端口 |
5168 | SMB / SMB2的Spn检查失败。 |
5169 | 目录服务对象已修改 |
5170 | 在后台清理任务期间修改了目录服务对象 |
5376 | 已备份凭据管理器凭据 |
5377 | Credential Manager凭据已从备份还原 |
5378 | 策略不允许请求的凭据委派 |
5440 | Windows筛选平台基本筛选引擎启动时出现以下callout |
5441 | Windows筛选平台基本筛选引擎启动时存在以下筛选器 |
5442 | Windows筛选平台基本筛选引擎启动时,存在以下提供程序 |
5443 | Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 |
5444 | Windows筛选平台基本筛选引擎启动时,存在以下子层 |
5446 | Windows筛选平台标注已更改 |
5447 | Windows筛选平台筛选器已更改 |
5448 | Windows筛选平台提供程序已更改 |
5449 | Windows筛选平台提供程序上下文已更改 |
5450 | Windows筛选平台子层已更改 |
5451 | 建立了IPsec快速模式安全关联 |
5452 | IPsec快速模式安全关联已结束 |
5453 | 与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP IPsec密钥模块(IKEEXT)服务 |
5456 | PAStore引擎在计算机上应用了Active Directory存储IPsec策略 |
5457 | PAStore引擎无法在计算机上应用Active Directory存储IPsec策略 |
5458 | PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本 |
5459 | PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本 |
5460 | PAStore引擎在计算机上应用了本地注册表存储IPsec策略 |
5461 | PAStore引擎无法在计算机上应用本地注册表存储IPsec策略 |
5462 | PAStore引擎无法在计算机上应用某些活动IPsec策略规则 |
5463 | PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改 |
5464 | PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务 |
5465 | PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件 |
5466 | PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory IPsec策略的缓存副本 |
5467 | PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改 |
5468 | PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改 |
5471 | PAStore引擎在计算机上加载了本地存储IPsec策略 |
5472 | PAStore引擎无法在计算机上加载本地存储IPsec策略 |
5473 | PAStore引擎在计算机上加载了目录存储IPsec策略 |
5474 | PAStore引擎无法在计算机上加载目录存储IPsec策略 |
5477 | PAStore引擎无法添加快速模式过滤器 |
5478 | IPsec服务已成功启动 |
5479 | IPsec服务已成功关闭 |
5480 | IPsec服务无法获取计算机上的完整网络接口列表 |
5483 | IPsec服务无法初始化RPC服务器。无法启动IPsec服务 |
5484 | IPsec服务遇到严重故障并已关闭 |
5485 | IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器 |
5632 | 已请求对无线网络进行身份验证 |
5633 | 已请求对有线网络进行身份验证 |
5712 | 尝试了远程过程调用(RPC) |
5888 | COM +目录中的对象已被修改 |
5889 | 从COM +目录中删除了一个对象 |
5890 | 一个对象已添加到COM +目录中 |
6144 | 组策略对象中的安全策略已成功应用 |
6145 | 处理组策略对象中的安全策略时发生一个或多个错误 |
6272 | 网络策略服务器授予用户访问权限 |
6273 | 网络策略服务器拒绝访问用户 |
6274 | 网络策略服务器放弃了对用户的请求 |
6275 | 网络策略服务器放弃了用户的记帐请求 |
6276 | 网络策略服务器隔离了用户 |
6277 | 网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期 |
6278 | 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略 |
6279 | 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户 |
6280 | 网络策略服务器解锁了用户帐户 |
6281 | 代码完整性确定图像文件的页面哈希值无效... |
6400 | BranchCache:在发现内容可用性时收到格式错误的响应。 |
6401 | BranchCache:从对等方收到无效数据。数据被丢弃。 |
6402 | BranchCache:提供数据的托管缓存的消息格式不正确。 |
6403 | BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。 |
6404 | BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。 |
6405 | BranchCache:发生了事件ID%1的%2个实例。 |
6406 | %1注册到Windows防火墙以控制以下过滤: |
6407 | 1% |
6408 | 已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。 |
6409 | BranchCache:无法解析服务连接点对象 |
6410 | 代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题 |
6416 | 系统识别出新的外部设备。 |
6417 | FIPS模式加密自检成功 |
6418 | FIPS模式加密自检失败 |
6419 | 发出了禁用设备的请求 |
6420 | 设备已禁用 |
6421 | 已发出请求以启用设备 |
6422 | 设备已启用 |
6423 | 系统策略禁止安装此设备 |
6424 | 在事先被政策禁止之后,允许安装此设备 |
8191 | 最高系统定义的审计消息值 |
欢迎关注微信公众号:小温研习社