帐户登录事件
表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
表1:审核帐户登录事件
|
事件 ID |
事件描述 |
|
672 |
已成功颁发和验证身份验证服务 (AS) 票证。 |
|
673 |
授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 |
|
674 |
安全主体已更新 AS 票证或 TGS 票证。 |
|
675 |
预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。 |
|
676 |
身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
|
677 |
TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
|
678 |
帐户已成功映射到域帐户。 |
|
681 |
登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。 |
|
682 |
用户已重新连接至已断开的终端服务器会话。 |
|
683 |
用户未注销就断开终端服务器会话。 |
表2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。
表2:审核帐户管理事件
|
事件 ID |
事件描述 |
|
624 |
用户帐户已创建。 |
|
627 |
用户密码已更改。 |
|
628 |
用户密码已设置。 |
|
630 |
用户帐户已删除。 |
|
631 |
全局组已创建。 |
|
632 |
成员已添加至全局组。 |
|
633 |
成员已从全局组删除。 |
|
634 |
全局组已删除。 |
|
635 |
已新建本地组。 |
|
636 |
成员已添加至本地组。 |
|
637 |
成员已从本地组删除。 |
|
638 |
本地组已删除。 |
|
639 |
本地组帐户已更改。 |
|
641 |
全局组帐户已更改。 |
|
642 |
用户帐户已更改。 |
|
643 |
域策略已修改。 |
|
644 |
用户帐户被自动锁定。 |
|
645 |
计算机帐户已创建。 |
|
646 |
计算机帐户已更改。 |
|
647 |
计算机帐户已删除。 |
|
648 |
禁用安全的本地安全组已创建。 |
|
649 |
禁用安全的本地安全组已更改。 |
|
650 |
成员已添加至禁用安全的本地安全组。 |
|
651 |
成员已从禁用安全的本地安全组删除。 |
|
652 |
禁用安全的本地组已删除。 |
|
653 |
禁用安全的全局组已创建。 |
|
654 |
禁用安全的全局组已更改。 |
|
655 |
成员已添加至禁用安全的全局组。 |
|
656 |
成员已从禁用安全的全局组删除。 |
|
657 |
禁用安全的全局组已删除。 |
|
658 |
启用安全的通用组已创建。 |
|
659 |
启用安全的通用组已更改。 |
|
660 |
成员已添加至启用安全的通用组。 |
|
661 |
成员已从启用安全的通用组删除。 |
|
662 |
启用安全的通用组已删除。 |
|
663 |
禁用安全的通用组已创建。 |
|
664 |
禁用安全的通用组已更改。 |
|
665 |
成员已添加至禁用安全的通用组。 |
|
666 |
成员已从禁用安全的通用组删除。 |
|
667 |
禁用安全的通用组已删除。 |
|
668 |
组类型已更改。 |
|
684 |
管理组成员的安全描述符已设置。 |
|
685 |
帐户名称已更改。 |
表3 显示了由“审核目录服务访问”安全模板设置所生成的安全事件。
表3:审核目录服务访问事件
|
事件 ID |
事件描述 |
|
566 |
发生了一般对象操作。 |
表4 包含由“审核登录事件”安全模板设置所生成的安全事件。
表4:审核登录事件
|
事件 ID |
审核登录事件 |
|
528 |
用户成功登录到计算机。 |
|
529 |
登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。 |
|
530 |
登录失败。试图在允许的时间外登录。 |
|
531 |
登录失败。试图使用禁用的帐户登录。 |
|
532 |
登录失败。试图使用已过期的帐户登录。 |
|
533 |
登录失败。不允许登录到指定计算机的用户试图登录。 |
|
534 |
登录失败。用户试图使用不允许的密码类型登录。 |
|
535 |
登录失败。指定帐户的密码已过期。 |
|
536 |
登录失败。Net Logon 服务没有启动。 |
|
537 |
登录失败。由于其他原因登录尝试失败。 |
|
538 |
用户的注销过程已完成。 |
|
539 |
登录失败。试图登录时,该帐户已锁定。 |
|
540 |
用户成功登录到网络。 |
|
541 |
本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。 |
|
542 |
数据频道已终止。 |
|
543 |
主要模式已终止。 |
|
544 |
由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。 |
|
545 |
由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。 |
|
546 |
由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。 |
|
547 |
在 IKE 握手过程中,出现错误。 |
|
548 |
登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。 |
|
549 |
登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。 |
|
550 |
可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。 |
|
551 |
用户已启动注销过程。 |
|
552 |
用户使用明确凭据成功登录到作为其他用户已登录到的计算机。 |
|
682 |
用户已重新连接至已断开的终端服务器会话。 |
|
683 |
用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。 |
2 信息 Serial 在验证 \Device\Serial1 是否确实是串行口时系统检测到先进先出方式(fifo)。将使用该方式。
17 错误 W32Time 时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)
20 警告 Print 已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP,
CNMSH6e
26 信息 Application Popup 弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
29 错误 W32Time 时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间但是没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。NtpClient 没有准确时间的时间源。
35 信息 W32Time 时间服务现在用时间源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。
115 信息 SRService 系统还原监视在所有驱动器上启用。
116 信SRService 系统还原监视在所有驱动器上禁用。
1001 信息 Save Dump 计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp。
1005 警告 Dhcp 您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址 192.168.1.100 已在网络上使用。 计算机会自动获取另一个地址。
3260 信息 Workstation 此计算机成功加入到 workgroup 'WORKGROUP'。
4202 信息 Tcpip 系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开 而且网卡的网络配置已经释放。如果 网卡没有断开这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。
4226 警告 Tcpip TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。
4377 信息 NtServicePack Windows XP Hotfix KB873339 was installed. 6005 信息 EventLog 事件日志服务已启动。(开机)
6006 信息 EventLog 事件日志服务已停止。(关机)
6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
6011 信息 EventLog 此机器的 NetBIOS 名称和 DNS 主机名从MACHINENAME 更改为 AA。
7000 错误 Service Control Manager 由于下列错误npkcrypt 服务启动失败:
7031 错误 Service Control Manager Eset Service 服务意外地终止这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行:重新启动服务。
7035 信息 Service Control Manager xxx服务成功发送一个开始控件。
7036 信息 Service Control Manager xxx服务处于运行或停止等状态。
8033 信息 BROWSER 由于主浏览器已经停止浏览器在\Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。
10000 错误 DCOM 无法启动 DCOM 服务器: {80EE4902-33A8-11D1-A213-0080C88593A5}。
错误: 15007 信息 HTTP 成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。
60054 信息 Setup 安装程序成功地完成了安装 Windows 内部版本2600。
64002 信息 Windows File Protection 试图在被保护的系统文件c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。
64008 警告 Windows File Protection 无法验证受保护的c:\windows\system32\quartz.dll 系统文件原因是 Windows 文件保护中断。 请过一会儿使用SFC 工具验证该文件的完整性