安全事件日志中的事件編号與描述

帳号登入事件

(事件編号與描述) 

672 身份驗證服務（AS）票證得到成功發行與驗證。

673 票證授權服務（TGS）票證得到授權。TGS是一份由Kerberos 5.0版票證授權服務（TGS）發行、且允許使用者針對域中特定服務進行身份驗證的票證。

674 安全主體重建AS票證或TGS票證。 

675 預身份驗證失敗。這種事件将在使用者輸入錯誤密碼時由密鑰分發中心（KDC）生成。

676 身份驗證票證請求失敗。這種事件在Windows XP Professional作業系統或Windows Server産品家族成員中将不會産生。 

677 TGS票證無法得到授權。這種事件在Windows XP Professional作業系統或Windows Server産品家族成員中将不會産生。

678 指定帳号成功映射到一個域帳号。 

681 登入失敗。域帳号嘗試進行登入。這種事件在Windows XP Professional作業系統或Windows Server産品家族成員中将不會産生。

682 使用者重新連接配接到一個已經斷開連接配接的終端伺服器會話上?I> 

683 使用者在沒有登出的情況下與終端伺服器會話斷開連接配接。

帳号管理事件

624 一個使用者帳号被建立。 

627 一個使用者密碼被修改。 

628 一個使用者密碼被設定。 

630 一個使用者密碼被删除。 

631 一個全局組被建立。 

632 一個成員被添加到特定全局組中。 

633 一個成員從特定全局組中被删除。 

634 一個全局組被删除。 

635 一個新的本地組被建立。 

636 一個成員被添加到本地組中。 

637 一個成員從本地組中被删除。 

638 一個本地組被删除。 

639 一個本地組帳号被修改。 

641 一個全局組帳号被修改。 

642 一個使用者帳号被修改。 

643 一個域政策被修改。 

644 一個使用者帳号被自動鎖定。 

645 一個計算機帳号被建立。 

646 一個計算機帳号被修改。 

647 一個計算機帳号被删除。 

648 一個禁用安全特性的本地安全組被建立。說明：正式名稱中的SECURITY_DISABLED意味着這個組無法用于在通路檢查中授予權限。 

649 一個禁用安全特性的本地安全組被修改。 

650 一個成員被添加到一個禁用安全特性的本地安全組中。 

651 一個成員從一個禁用安全特性的本地安全組中被删除。 

652 一個禁用安全特性的本地組被删除。 

653 一個禁用安全特性的全局組被建立。 

654 一個禁用安全特性的全局組被修改。 

655 一個成員被添加到一個禁用安全特性的全局組中。 

656 一個成員從一個禁用安全特性的全局組中被删除。 

657 一個禁用安全特性的全局組被删除。 

658 一個啟用安全特性的通用組被建立。 

659 一個啟用安全特性的通用組被修改。 

660 一個成員被添加到一個啟用安全特性的通用組中。 

661 一個成員從一個啟用安全特性的通用組中被删除。 

662 一個啟用安全特性的通用組被删除。 

663 一個禁用安全特性的通用組被建立。 

664 一個禁用安全特性的通用組被修改。 

665 一個成員被添加到一個禁用安全特性的通用組中。 

666 一個成員從一個禁用安全特性的通用組中被删除。 

667 一個禁用安全特性的通用組被删除。 

668 一個組類型被修改。 

684 管理組成員的安全描述符被設定。說明：在域控制器上，一個背景線程每60秒将對管理組中的所有成員（如域管理者、企業管理者和架構管理者）進行一次搜尋并對其應用一個經過修複的安全描述符。這種事件将被記錄下來。 

685 一個帳号名稱被修改。 

稽核登入事件

528 使用者成功登入到計算機上。 

529 登入失敗：試圖使用未知使用者名或帶有錯誤密碼的已知使用者名進行登入。 

530 登入失敗：試圖在允許時間範圍以外進行登入。 

531 登入失敗：試圖通過禁用帳号進行登入。 

532 登入失敗：試圖通過過期帳号進行登入。 

533 登入失敗：試圖通過不允許在特定計算機上進行登入的使用者帳号進行登入。 

534 登入失敗：使用者試圖通過不允許使用的密碼類型進行登入。 

535 登入失敗：針對指定帳号的密碼已經過期。 

536 登入失敗：網絡登入服務未被激活。 

537 登入失敗：由于其它原因導緻登入失敗。說明：在某些情況下，登入失敗原因可能無法确定。 

538 針對某一使用者的登出操作完成。 

539 登入失敗：登入帳号在登入時刻已被鎖定。 

540 使用者成功登入到網絡。 

541 本地計算機與所列對等客戶身份辨別之間的主模式Internet密鑰交換（IKE）身份驗證操作已經完成（建立一條安全關聯），或者快速模式已經建立一條資料通道。 

542 資料通道被中斷。 

543 主模式被中斷。說明：這種事件可能在安全關聯時間限制到期（預設值為8小時）、政策修改或對等客戶中斷時發生。 

544 由于對等客戶未能提供合法證書或簽署未通過驗證導緻主模式身份驗證失敗。 

545 由于Kerberos失敗或密碼不合法導緻主模式身份驗證失敗。

546 由于對等客戶發送非法了非法提議，IKE 安全關聯建立沒有成功。收到一個包含非法資料的資料包。

547 IKE握手過程中發生錯誤。

548 登入失敗：來自信任域的安全辨別符（SID）與用戶端的帳号域SID不比對。

549 登入失敗：在跨域身份驗證過程中，所有同非信任名稱空間相對應的SID均已被過濾掉。

550 能夠訓示可能發生拒絕服務（DoS）攻擊的通知消息。

551 使用者發起登出操作。

552 使用者在已經通過其他身份登入的情況下使用明确憑據成功登入到計算機上。

682 使用者重新連接配接到一個已經斷開連接配接的終端伺服器會話上。

683 使用者在沒有登出的情況下與終端伺服器會話斷開連接配接。說明：這種事件将在使用者通過網絡與終端伺服器會話建立連接配接時産生。它将出現在終端伺服器上。

對象通路事件 

560 通路由一個已經存在的對象提供授權。

562 一個對象通路句柄被關閉。

563 試圖打開并删除一個對象。說明：當您在Createfile()函數中指定FILE_DELETE_ON_CLOSE标志時，這種事件将被檔案系統所使用。

564 一個保護對象被删除。

565 通路由一種已經存在的對象類型提供授權。

567 一種與句柄相關聯的權限被使用。說明：一個授予特定權限（讀取、寫入等）的句柄被建立。當使用這個句柄時，至多針對所用到的每種權限産生一次稽核。 

568 試圖針對正在進行稽核的檔案建立硬連接配接。

569 身份驗證管理器中的資料總管試圖建立用戶端上下文。

570 用戶端試圖通路一個對象。說明：針對對象的每次操作嘗試都将産生一個事件。

571 用戶端上下文被身份驗證管理器應用程式删除。

572 管理者管理器初始化應用程式。

772 證書管理器拒絕了挂起的證書申請。

773 證書服務收到重新送出的證書申請。

774 證書服務吊銷了證書。

775 證書服務收到發行證書吊銷清單(CRL) 的請求。

776 證書服務發行了證書吊銷清單(CRL)。

777 更改了證書申請擴充。

778 更改了多個證書申請屬性。

779 證書服務收到關機請求。

780 已開始證書服務備份。

781 已完成證書服務備份。

782 已開始證書服務還原。

783 已完成證書服務還原。

784 證書服務已經開始。

785 證書服務已經停止。 

786 證書服務更改的安全權限。

787 證書服務檢索了存檔密鑰。

788 證書服務将證書導入資料庫中。

789 證書服務更改的稽核篩選。

790 證書服務收到證書申請。

791 證書服務準許了證書申請并頒發了證書。

792 證書服務拒絕證書申請。

793 證書服務将證書申請狀态設為挂起。

794 證書服務更改的證書管理器設定

795 證書服務更改的配置項。

796 證書服務更改屬性。

797 證書服務存檔了密鑰。

798 證書服務導入和存檔了密鑰。

799 證書服務将證書發行機構（CA）證書發行到Active Directory。

800 從證書資料庫删除一行或多行。

801 角色分隔被啟用。

稽核政策更改事件

608 使用者權限已被配置設定。

609 使用者權限已被删除。

610 與另一個域的信任關系已被建立。

611 與另一個域的信任關系已被删除。

612 稽核政策已被更改。

613 Internet協定安全性（IPSec）政策代理已經啟動。

614 IPSec政策代理已被禁用。

615 IPSec政策代理已被更改。

616 IPSec政策代理遇到一個潛在的嚴重問題。

617 Kerberos 5.0版政策已被更改。

618 經過加密的資料恢複政策已更改。

620 與另一個域的信任關系已被修改。

621 系統通路權限已被授予帳号。

622 系統通路權限已從帳号中删除。

623 稽核政策以對等使用者為機關進行設定。

625 稽核政策以對等使用者為機關進行重新整理。

768 檢測到一個森林中的名稱空間元素與另一個森林中的名稱空間元素發生沖突。說明：當一個森林中的名稱空間元素與另一個森林中的名稱空間元素發生重疊時，它将無法明确解析屬于這兩個名稱空間元素的名稱。這種重疊現象也稱作沖突。并非針對每種記錄類型的參數均合法。舉例來說，諸如DNS名稱、NetBIOS名稱和SID之類的字段對于"TopLevelName"類型的記錄便是非法的。

769 添加了受信任的森林資訊。說明：這種事件消息将在更新受信任的森林資訊以及添加一條或多條記錄時生成。針對每條添加、删除或修改的記錄都将生成一條事件消息。如果在針對森林信任資訊的單一更新操作中添加、删除或修改多條記錄，生成的所有事件消息都将被配置設定一個相同且唯一辨別符（稱作操作編号）。這種方式使您能夠判斷出多條事件消息是由一次操作生成的。并非針對每種記錄類型的參數均合法。舉例來說，諸如DNS名稱、NetBIOS名稱和SID之類的字段對于"TopLevelName"類型的記錄便是非法的。

770 删除了受信任的森林資訊。說明：檢視編号為769的事件描述。

771 修改了受信任的森林資訊。說明：檢視編号為769的事件描述。

805 事件日志服務讀取針對會話的安權限使用事件

權限使用事件

576 特定權限已被添加到使用者通路令牌中。說明：這種事件将在使用者登入時産生。

577 使用者試圖執行受到權限保護的系統服務操作。

578 在已經處于打開狀态的受保護對象句柄上使用權限。

詳細跟蹤事件

592 已經建立新的過程。

593 已經退出某過程。

594 對象的句柄被重複

595 已經取得對象的間接通路權。

596 資料保護主密鑰備份。說明：主密鑰将供CryptProtectData和CryptUnprotectData例程以及加密檔案系統（EFS）所使用。這種主密鑰将在每次建立新增主密鑰時予以備份。（預設設定為90天。）密鑰備份操作通常由域控制器執行。

597 資料保護主密鑰已由恢複伺服器恢複完畢。

598 稽核資料已得到保護。

599 稽核資料保護已取消。

600 分派給程序一個主令牌。

601 使用者嘗試安裝服務。

602 一個計劃作業已被建立。

面向稽核系統事件的系統事件消息

512 正在啟動 Windows。

513 Windows 正在關機。

514 本地安全機制機構已加載身份驗證資料包。

515 受信任的登入過程已經在本地安全機制機構注冊。

516 用來列隊稽核消息的内部資源已經用完，進而導緻部分稽核資料丢失。

517 稽核日志已經清除。

518 安全性帳戶管理員已經加載通知資料包。

519 一個過程正在試圖通過無效本地過程調用（LPC）端口來模拟用戶端并針對用戶端位址空間執行回複、讀取或寫入操作。

520 系統時間已更改。說明：這種稽核操作通常成對出現

本文轉自loveme2351CTO部落格，原文連結： http://blog.51cto.com/loveme23/8401，如需轉載請自行聯系原作者