首頁(yè) > 服務(wù)器 > Win服務(wù)器 > 正文

Windows安全事件日志中的事件編號與描述

2020-10-03 18:03:19
字體:
來(lái)源:轉載
供稿:網(wǎng)友
帳號登錄事件(事件編號與描述)

672 身份驗證服務(wù)(AS)票證得到成功發(fā)行與驗證。
673 票證授權服務(wù)(TGS)票證得到授權。TGS是一份由Kerberos 5.0版票證授權服務(wù)(TGS)發(fā)行、且允許用戶(hù)針對域中特定服務(wù)進(jìn)行身份驗證的票證。
674 安全主體重建AS票證或TGS票證。
675 預身份驗證失敗。這種事件將在用戶(hù)輸入錯誤密碼時(shí)由密鑰分發(fā)中心(KDC)生成。
676 身份驗證票證請求失敗。這種事件在Windows XP Professional操作系統或Windows Server產(chǎn)品家族成員中將不會(huì )產(chǎn)生。
677 TGS票證無(wú)法得到授權。這種事件在Windows XP Professional操作系統或Windows Server產(chǎn)品家族成員中將不會(huì )產(chǎn)生。
678 指定帳號成功映射到一個(gè)域帳號。
681 登錄失敗。域帳號嘗試進(jìn)行登錄。這種事件在Windows XP Professional操作系統或Windows Server產(chǎn)品家族成員中將不會(huì )產(chǎn)生。
682 用戶(hù)重新連接到一個(gè)已經(jīng)斷開(kāi)連接的終端服務(wù)器會(huì )話(huà)上。
683 用戶(hù)在沒(méi)有注銷(xiāo)的情況下與終端服務(wù)器會(huì )話(huà)斷開(kāi)連接。


帳號管理事件
624 一個(gè)用戶(hù)帳號被創(chuàng )建。
627 一個(gè)用戶(hù)密碼被修改。
628 一個(gè)用戶(hù)密碼被設置。
630 一個(gè)用戶(hù)密碼被刪除。
631 一個(gè)全局組被創(chuàng )建。
632 一個(gè)成員被添加到特定全局組中。
633 一個(gè)成員從特定全局組中被刪除。
634 一個(gè)全局組被刪除。
635 一個(gè)新的本地組被創(chuàng )建。
636 一個(gè)成員被添加到本地組中。
637 一個(gè)成員從本地組中被刪除。
638 一個(gè)本地組被刪除。
639 一個(gè)本地組帳號被修改。
641 一個(gè)全局組帳號被修改。
642 一個(gè)用戶(hù)帳號被修改。
643 一個(gè)域策略被修改。
644 一個(gè)用戶(hù)帳號被自動(dòng)鎖定。
645 一個(gè)計算機帳號被創(chuàng )建。
646 一個(gè)計算機帳號被修改。
647 一個(gè)計算機帳號被刪除。
648 一個(gè)禁用安全特性的本地安全組被創(chuàng )建。說(shuō)明:正式名稱(chēng)中的SECURITY_DISABLED意味著(zhù)這個(gè)組無(wú)法用于在訪(fǎng)問(wèn)檢查中授予權限。
649 一個(gè)禁用安全特性的本地安全組被修改。
650 一個(gè)成員被添加到一個(gè)禁用安全特性的本地安全組中。
651 一個(gè)成員從一個(gè)禁用安全特性的本地安全組中被刪除。
652 一個(gè)禁用安全特性的本地組被刪除。
653 一個(gè)禁用安全特性的全局組被創(chuàng )建。
654 一個(gè)禁用安全特性的全局組被修改。
655 一個(gè)成員被添加到一個(gè)禁用安全特性的全局組中。
656 一個(gè)成員從一個(gè)禁用安全特性的全局組中被刪除。
657 一個(gè)禁用安全特性的全局組被刪除。
658 一個(gè)啟用安全特性的通用組被創(chuàng )建。
659 一個(gè)啟用安全特性的通用組被修改。
660 一個(gè)成員被添加到一個(gè)啟用安全特性的通用組中。
661 一個(gè)成員從一個(gè)啟用安全特性的通用組中被刪除。
662 一個(gè)啟用安全特性的通用組被刪除。
663 一個(gè)禁用安全特性的通用組被創(chuàng )建。
664 一個(gè)禁用安全特性的通用組被修改。
665 一個(gè)成員被添加到一個(gè)禁用安全特性的通用組中。
666 一個(gè)成員從一個(gè)禁用安全特性的通用組中被刪除。
667 一個(gè)禁用安全特性的通用組被刪除。
668 一個(gè)組類(lèi)型被修改。
684 管理組成員的安全描述符被設置。說(shuō)明:在域控制器上,一個(gè)后臺線(xiàn)程每60秒將對管理組中的所有成員(如域管理員、企業(yè)管理員和架構管理員)進(jìn)行一次搜索并對其應用一個(gè)經(jīng)過(guò)修復的安全描述符。這種事件將被記錄下來(lái)。
685 一個(gè)帳號名稱(chēng)被修改。


審核登錄事件
528 用戶(hù)成功登錄到計算機上。
529 登錄失?。涸噲D使用未知用戶(hù)名或帶有錯誤密碼的已知用戶(hù)名進(jìn)行登錄。
530 登錄失?。涸噲D在允許時(shí)間范圍以外進(jìn)行登錄。
531 登錄失?。涸噲D通過(guò)禁用帳號進(jìn)行登錄。
532 登錄失?。涸噲D通過(guò)過(guò)期帳號進(jìn)行登錄。
533 登錄失?。涸噲D通過(guò)不允許在特定計算機上進(jìn)行登錄的用戶(hù)帳號進(jìn)行登錄。
534 登錄失?。河脩?hù)試圖通過(guò)不允許使用的密碼類(lèi)型進(jìn)行登錄。
535 登錄失?。横槍χ付◣ぬ柕拿艽a已經(jīng)過(guò)期。
536 登錄失?。壕W(wǎng)絡(luò )登錄服務(wù)未被激活。
537 登錄失?。河捎谄渌驅е碌卿浭?。說(shuō)明:在某些情況下,登錄失敗原因可能無(wú)法確定。
538 針對某一用戶(hù)的注銷(xiāo)操作完成。
539 登錄失?。旱卿泿ぬ栐诘卿洉r(shí)刻已被鎖定。
540 用戶(hù)成功登錄到網(wǎng)絡(luò )。
541 本地計算機與所列對等客戶(hù)身份標識之間的主模式Internet密鑰交換(IKE)身份驗證操作已經(jīng)完成(建立一條安全關(guān)聯(lián)),或者快速模式已經(jīng)建立一條數據通道。
542 數據通道被中斷。
543 主模式被中斷。說(shuō)明:這種事件可能在安全關(guān)聯(lián)時(shí)間限制到期(缺省值為8小時(shí))、策略修改或對等客戶(hù)中斷時(shí)發(fā)生。
544 由于對等客戶(hù)未能提供合法證書(shū)或簽署未通過(guò)驗證導致主模式身份驗證失敗。
545 由于Kerberos失敗或密碼不合法導致主模式身份驗證失敗。
546 由于對等客戶(hù)發(fā)送非法了非法提議,IKE 安全關(guān)聯(lián)建立沒(méi)有成功。收到一個(gè)包含非法數據的數據包。
547 IKE握手過(guò)程中發(fā)生錯誤。
548 登錄失?。簛?lái)自信任域的安全標識符(SID)與客戶(hù)端的帳號域SID不匹配。
549 登錄失?。涸诳缬蛏矸蒡炞C過(guò)程中,所有同非信任名稱(chēng)空間相對應的SID均已被過(guò)濾掉。
550 能夠指示可能發(fā)生拒絕服務(wù)(DoS)攻擊的通知消息。
551 用戶(hù)發(fā)起注銷(xiāo)操作。
552 用戶(hù)在已經(jīng)通過(guò)其他身份登錄的情況下使用明確憑據成功登錄到計算機上。
682 用戶(hù)重新連接到一個(gè)已經(jīng)斷開(kāi)連接的終端服務(wù)器會(huì )話(huà)上。
683 用戶(hù)在沒(méi)有注銷(xiāo)的情況下與終端服務(wù)器會(huì )話(huà)斷開(kāi)連接。說(shuō)明:這種事件將在用戶(hù)通過(guò)網(wǎng)絡(luò )與終端服務(wù)器會(huì )話(huà)建立連接時(shí)產(chǎn)生。它將出現在終端服務(wù)器上。


對象訪(fǎng)問(wèn)事件
560 訪(fǎng)問(wèn)由一個(gè)已經(jīng)存在的對象提供授權。
562 一個(gè)對象訪(fǎng)問(wèn)句柄被關(guān)閉。
563 試圖打開(kāi)并刪除一個(gè)對象。說(shuō)明:當您在Createfile()函數中指定FILE_DELETE_ON_CLOSE標志時(shí),這種事件將被文件系統所使用。
564 一個(gè)保護對象被刪除。
565 訪(fǎng)問(wèn)由一種已經(jīng)存在的對象類(lèi)型提供授權。
567 一種與句柄相關(guān)聯(lián)的權限被使用。說(shuō)明:一個(gè)授予特定權限(讀取、寫(xiě)入等)的句柄被創(chuàng )建。當使用這個(gè)句柄時(shí),至多針對所用到的每種權限產(chǎn)生一次審核。
568 試圖針對正在進(jìn)行審核的文件創(chuàng )建硬連接。
569 身份驗證管理器中的資源管理器試圖創(chuàng )建客戶(hù)端上下文。
570 客戶(hù)端試圖訪(fǎng)問(wèn)一個(gè)對象。說(shuō)明:針對對象的每次操作嘗試都將產(chǎn)生一個(gè)事件。
571 客戶(hù)端上下文被身份驗證管理器應用程序刪除。
572 管理員管理器初始化應用程序。
772 證書(shū)管理器拒絕了掛起的證書(shū)申請。
773 證書(shū)服務(wù)收到重新提交的證書(shū)申請。
774 證書(shū)服務(wù)吊銷(xiāo)了證書(shū)。
775 證書(shū)服務(wù)收到發(fā)行證書(shū)吊銷(xiāo)列表(CRL) 的請求。
776 證書(shū)服務(wù)發(fā)行了證書(shū)吊銷(xiāo)列表(CRL)。
777 更改了證書(shū)申請擴展。
778 更改了多個(gè)證書(shū)申請屬性。
779 證書(shū)服務(wù)收到關(guān)機請求。
780 已開(kāi)始證書(shū)服務(wù)備份。
781 已完成證書(shū)服務(wù)備份。
782 已開(kāi)始證書(shū)服務(wù)還原。
783 已完成證書(shū)服務(wù)還原。
784 證書(shū)服務(wù)已經(jīng)開(kāi)始。
785 證書(shū)服務(wù)已經(jīng)停止。
786 證書(shū)服務(wù)更改的安全權限。
787 證書(shū)服務(wù)檢索了存檔密鑰。
788 證書(shū)服務(wù)將證書(shū)導入數據庫中。
789 證書(shū)服務(wù)更改的審核篩選。
790 證書(shū)服務(wù)收到證書(shū)申請。
791 證書(shū)服務(wù)批準了證書(shū)申請并頒發(fā)了證書(shū)。
792 證書(shū)服務(wù)拒絕證書(shū)申請。
793 證書(shū)服務(wù)將證書(shū)申請狀態(tài)設為掛起。
794 證書(shū)服務(wù)更改的證書(shū)管理器設置
795 證書(shū)服務(wù)更改的配置項。
796 證書(shū)服務(wù)更改屬性。
797 證書(shū)服務(wù)存檔了密鑰。
798 證書(shū)服務(wù)導入和存檔了密鑰。
799 證書(shū)服務(wù)將證書(shū)發(fā)行機構(CA)證書(shū)發(fā)行到Active Directory。
800 從證書(shū)數據庫刪除一行或多行。
801 角色分隔被啟用。

審核策略更改事件
608 用戶(hù)權限已被分配。
609 用戶(hù)權限已被刪除。
610 與另一個(gè)域的信任關(guān)系已被創(chuàng )建。
611 與另一個(gè)域的信任關(guān)系已被刪除。
612 審核策略已被更改。
613 Internet協(xié)議安全性(IPSec)策略代理已經(jīng)啟動(dòng)。
614 IPSec策略代理已被禁用。
615 IPSec策略代理已被更改。
616 IPSec策略代理遇到一個(gè)潛在的嚴重問(wèn)題。
617 Kerberos 5.0版策略已被更改。
618 經(jīng)過(guò)加密的數據恢復策略已更改。
620 與另一個(gè)域的信任關(guān)系已被修改。
621 系統訪(fǎng)問(wèn)權限已被授予帳號。
622 系統訪(fǎng)問(wèn)權限已從帳號中刪除。
623 審核策略以對等用戶(hù)為單位進(jìn)行設置。
625 審核策略以對等用戶(hù)為單位進(jìn)行刷新。
768 檢測到一個(gè)森林中的名稱(chēng)空間元素與另一個(gè)森林中的名稱(chēng)空間元素發(fā)生沖突。說(shuō)明:當一個(gè)森林中的名稱(chēng)空間元素與另一個(gè)森林中的名稱(chēng)空間元素發(fā)生重疊時(shí),它將無(wú)法明確解析屬于這兩個(gè)名稱(chēng)空間元素的名稱(chēng)。這種重疊現象也稱(chēng)作沖突。并非針對每種記錄類(lèi)型的參數均合法。舉例來(lái)說(shuō),諸如DNS名稱(chēng)、NetBIOS名稱(chēng)和SID之類(lèi)的字段對于“TopLevelName”類(lèi)型的記錄便是非法的。
769 添加了受信任的森林信息。說(shuō)明:這種事件消息將在更新受信任的森林信息以及添加一條或多條記錄時(shí)生成。針對每條添加、刪除或修改的記錄都將生成一條事件消息。如果在針對森林信任信息的單一更新操作中添加、刪除或修改多條記錄,生成的所有事件消息都將被分配一個(gè)相同且唯一標識符(稱(chēng)作操作編號)。這種方式使您能夠判斷出多條事件消息是由一次操作生成的。并非針對每種記錄類(lèi)型的參數均合法。舉例來(lái)說(shuō),諸如DNS名稱(chēng)、NetBIOS名稱(chēng)和SID之類(lèi)的字段對于“TopLevelName”類(lèi)型的記錄便是非法的。
770 刪除了受信任的森林信息。說(shuō)明:查看編號為769的事件描述。
771 修改了受信任的森林信息。說(shuō)明:查看編號為769的事件描述。
805 事件日志服務(wù)讀取針對會(huì )話(huà)的安權限使用事件


權限使用事件
576 特定權限已被添加到用戶(hù)訪(fǎng)問(wèn)令牌中。說(shuō)明:這種事件將在用戶(hù)登錄時(shí)產(chǎn)生。
577 用戶(hù)試圖執行受到權限保護的系統服務(wù)操作。
578 在已經(jīng)處于打開(kāi)狀態(tài)的受保護對象句柄上使用權限。


詳細跟蹤事件
592 已經(jīng)創(chuàng )建新的過(guò)程。
593 已經(jīng)退出某過(guò)程。
594 對象的句柄被重復
595 已經(jīng)取得對象的間接訪(fǎng)問(wèn)權。
596 數據保護主密鑰備份。說(shuō)明:主密鑰將供CryptProtectData和CryptUnprotectData例程以及加密文件系統(EFS)所使用。這種主密鑰將在每次創(chuàng )建新增主密鑰時(shí)予以備份。(缺省設置為90天。)密鑰備份操作通常由域控制器執行。
597 數據保護主密鑰已由恢復服務(wù)器恢復完畢。
598 審核數據已得到保護。
599 審核數據保護已取消。
600 分派給進(jìn)程一個(gè)主令牌。
601 用戶(hù)嘗試安裝服務(wù)。
602 一個(gè)計劃作業(yè)已被創(chuàng )建。


面向審核系統事件的系統事件消息
512 正在啟動(dòng) Windows。
513 Windows 正在關(guān)機。
514 本地安全機制機構已加載身份驗證數據包。
515 受信任的登錄過(guò)程已經(jīng)在本地安全機制機構注冊。
516 用來(lái)列隊審核消息的內部資源已經(jīng)用完,從而導致部分審核數據丟失。
517 審核日志已經(jīng)清除。
518 安全帳戶(hù)管理器已經(jīng)加載通知數據包。
519 一個(gè)過(guò)程正在試圖通過(guò)無(wú)效本地過(guò)程調用(LPC)端口來(lái)模擬客戶(hù)端并針對客戶(hù)端地址空間執行回復、讀取或寫(xiě)入操作。
520 系統時(shí)間已更改。說(shuō)明:這種審核操作通常成對出現。
上一篇:Windows下權限設置詳解

下一篇:返回列表

發(fā)表評論 共有條評論
用戶(hù)名: 密碼:
驗證碼: 匿名發(fā)表