`

安全事件日志事件编号与描述

阅读更多
帐号登录事件
(事件编号与描述)
672 身份验证服务(AS)票证得到成功发行与验证。
673 票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建AS票证或TGS票证。
675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。
676 身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
677 TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。


帐号管理事件
624 一个用户帐号被创建。
627 一个用户密码被修改。
628 一个用户密码被设置。
630 一个用户密码被删除。
631 一个全局组被创建。
632 一个成员被添加到特定全局组中。
633 一个成员从特定全局组中被删除。
634 一个全局组被删除。
635 一个新的本地组被创建。
636 一个成员被添加到本地组中。
637 一个成员从本地组中被删除。
638 一个本地组被删除。
639 一个本地组帐号被修改。
641 一个全局组帐号被修改。
642 一个用户帐号被修改。
643 一个域策略被修改。
644 一个用户帐号被自动锁定。
645 一个计算机帐号被创建。
646 一个计算机帐号被修改。
647 一个计算机帐号被删除。
648 一个禁用安全特性的本地安全组被创建。说明:正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。
649 一个禁用安全特性的本地安全组被修改。
650 一个成员被添加到一个禁用安全特性的本地安全组中。
651 一个成员从一个禁用安全特性的本地安全组中被删除。
652 一个禁用安全特性的本地组被删除。
653 一个禁用安全特性的全局组被创建。
654 一个禁用安全特性的全局组被修改。
655 一个成员被添加到一个禁用安全特性的全局组中。
656 一个成员从一个禁用安全特性的全局组中被删除。
657 一个禁用安全特性的全局组被删除。
658 一个启用安全特性的通用组被创建。
659 一个启用安全特性的通用组被修改。
660 一个成员被添加到一个启用安全特性的通用组中。
661 一个成员从一个启用安全特性的通用组中被删除。
662 一个启用安全特性的通用组被删除。
663 一个禁用安全特性的通用组被创建。
664 一个禁用安全特性的通用组被修改。
665 一个成员被添加到一个禁用安全特性的通用组中。
666 一个成员从一个禁用安全特性的通用组中被删除。
667 一个禁用安全特性的通用组被删除。
668 一个组类型被修改。
684 管理组成员的安全描述符被设置。说明:在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。
685 一个帐号名称被修改。


审核登录事件
528 用户成功登录到计算机上。
529 登录失败:试图使用未知用户名或带有错误密码的已知用户名进行登录。
530 登录失败:试图在允许时间范围以外进行登录。
531 登录失败:试图通过禁用帐号进行登录。
532 登录失败:试图通过过期帐号进行登录。
533 登录失败:试图通过不允许在特定计算机上进行登录的用户帐号进行登录。
534 登录失败:用户试图通过不允许使用的密码类型进行登录。
535 登录失败:针对指定帐号的密码已经过期。
536 登录失败:网络登录服务未被激活。
537 登录失败:由于其它原因导致登录失败。说明:在某些情况下,登录失败原因可能无法确定。
538 针对某一用户的注销操作完成。
539 登录失败:登录帐号在登录时刻已被锁定。
540 用户成功登录到网络。
541 本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换(IKE)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。
542 数据通道被中断。
543 主模式被中断。说明:这种事件可能在安全关联时间限制到期(缺省值为8小时)、策略修改或对等客户中断时发生。
544 由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。
545 由于Kerberos失败或密码不合法导致主模式身份验证失败。
546 由于对等客户发送非法了非法提议,IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。
547 IKE握手过程中发生错误。
548 登录失败:来自信任域的安全标识符(SID)与客户端的帐号域SID不匹配。
549 登录失败:在跨域身份验证过程中,所有同非信任名称空间相对应的SID均已被过滤掉。
550 能够指示可能发生拒绝服务(DoS)攻击的通知消息。
551 用户发起注销操作。
552 用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。说明:这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。


对象访问事件
560 访问由一个已经存在的对象提供授权。
562 一个对象访问句柄被关闭。
563 试图打开并删除一个对象。说明:当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时,这种事件将被文件系统所使用。
564 一个保护对象被删除。
565 访问由一种已经存在的对象类型提供授权。
567 一种与句柄相关联的权限被使用。说明:一个授予特定权限(读取、写入等)的句柄被创建。当使用这个句柄时,至多针对所用到的每种权限产生一次审核。
568 试图针对正在进行审核的文件创建硬连接。
569 身份验证管理器中的资源管理器试图创建客户端上下文。
570 客户端试图访问一个对象。说明:针对对象的每次操作尝试都将产生一个事件。
571 客户端上下文被身份验证管理器应用程序删除。
572 管理员管理器初始化应用程序。
772 证书管理器拒绝了挂起的证书申请。
773 证书服务收到重新提交的证书申请。
774 证书服务吊销了证书。
775 证书服务收到发行证书吊销列表(CRL) 的请求。
776 证书服务发行了证书吊销列表(CRL)。
777 更改了证书申请扩展。
778 更改了多个证书申请属性。
779 证书服务收到关机请求。
780 已开始证书服务备份。
781 已完成证书服务备份。
782 已开始证书服务还原。
783 已完成证书服务还原。
784 证书服务已经开始。
785 证书服务已经停止。
786 证书服务更改的安全权限。
787 证书服务检索了存档密钥。
788 证书服务将证书导入数据库中。
789 证书服务更改的审核筛选。
790 证书服务收到证书申请。
791 证书服务批准了证书申请并颁发了证书。
792 证书服务拒绝证书申请。
793 证书服务将证书申请状态设为挂起。
794 证书服务更改的证书管理器设置
795 证书服务更改的配置项。
796 证书服务更改属性。
797 证书服务存档了密钥。
798 证书服务导入和存档了密钥。
799 证书服务将证书发行机构(CA)证书发行到Active Directory。
800 从证书数据库删除一行或多行。
801 角色分隔被启用。

审核策略更改事件
608 用户权限已被分配。
609 用户权限已被删除。
610 与另一个域的信任关系已被创建。
611 与另一个域的信任关系已被删除。
612 审核策略已被更改。
613 Internet协议安全性(IPSec)策略代理已经启动。
614 IPSec策略代理已被禁用。
615 IPSec策略代理已被更改。
616 IPSec策略代理遇到一个潜在的严重问题。
617 Kerberos 5.0版策略已被更改。
618 经过加密的数据恢复策略已更改。
620 与另一个域的信任关系已被修改。
621 系统访问权限已被授予帐号。
622 系统访问权限已从帐号中删除。
623 审核策略以对等用户为单位进行设置。
625 审核策略以对等用户为单位进行刷新。
768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明:当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时,它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
769 添加了受信任的森林信息。说明:这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录,生成的所有事件消息都将被分配一个相同且唯一标识符(称作操作编号)。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
770 删除了受信任的森林信息。说明:查看编号为769的事件描述。
771 修改了受信任的森林信息。说明:查看编号为769的事件描述。
805 事件日志服务读取针对会话的安权限使用事件


权限使用事件
576 特定权限已被添加到用户访问令牌中。说明:这种事件将在用户登录时产生。
577 用户试图执行受到权限保护的系统服务操作。
578 在已经处于打开状态的受保护对象句柄上使用权限。


详细跟踪事件
592 已经创建新的过程。
593 已经退出某过程。
594 对象的句柄被重复
595 已经取得对象的间接访问权。
596 数据保护主密钥备份。说明:主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统(EFS)所使用。这种主密钥将在每次创建新增主密钥时予以备份。(缺省设置为90天。)密钥备份操作通常由域控制器执行。
597 数据保护主密钥已由恢复服务器恢复完毕。
598 审核数据已得到保护。
599 审核数据保护已取消。
600 分派给进程一个主令牌。
601 用户尝试安装服务。
602 一个计划作业已被创建。


面向审核系统事件的系统事件消息
512 正在启动 Windows。
513 Windows 正在关机。
514 本地安全机制机构已加载身份验证数据包。
515 受信任的登录过程已经在本地安全机制机构注册。
516 用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517 审核日志已经清除。
518 安全帐户管理器已经加载通知数据包。
519 一个过程正在试图通过无效本地过程调用(LPC)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520 系统时间已更改。说明:这种审核操作通常成对出现。
分享到:
评论

相关推荐

    windows安全事件日志中的事件编号与描述

    Windows 安全事件日志中的事件编号与描述 Windows 安全事件日志中包含了大量的事件编号,每个事件编号对应着不同的操作。这些事件编号可以帮助管理员追踪和监控系统中的各种活动。下面是 Windows 安全事件日志中的...

    读写WIN2K事件日志的源代码

    - 事件ID:唯一标识事件的编号,通常与事件的严重性、类别相关联。 - 事件类型:如信息、警告、错误、审核成功或失败。 - 源:产生事件的应用程序或服务的名称。 - 描述:关于事件的详细信息,可能包括错误消息、...

    《网络端口详解》

    网络端口及详解 安全事件日志事件编号与描述

    海康摄像机报警事件列表.pdf

    海康摄像机报警事件类型列表是海康监控系统中用于描述和分类不同安全事件的代码体系。在本文档中,作者szy于2019年5月整理了海康摄像机报警事件的代码以及一些输入输出实例代码,涵盖了视频门禁、呼叫中心、人脸监控...

    安全日志、施工日志表格.pdf

    5. 便于追溯和审核:安全日志和施工日志的记录应便于事后追溯,可以通过编号、日期和签名等方式,确保记录的真实性和准确性。 由于文档是通过OCR技术扫描生成的,OCR技术在文字识别过程中可能会出现错误,导致部分...

    SQL Server数据库状态监控 – 错误日志

    - **Windows事件日志**:Windows操作系统提供了事件日志服务,用于记录应用程序、安全和系统事件。SQL Server和SQL Server Agent服务在Windows事件日志中分别以"MSSQLSERVER"和"SQLSERVERAGENT"作为来源,提供了...

    读取系统日志

    3. 安全日志:记录安全相关的事件,如登录尝试、资源使用情况,仅限管理员访问。 在C#中,可以使用.NET框架提供的`System.Diagnostics`命名空间来读取和操作日志。具体来说,有两个关键类:`EventLog`和`...

    日志文件解析code

    2. **日志结构**:通常,日志条目包含时间戳、事件级别(如ERROR、WARNING、INFO)、源(哪个服务或模块产生的日志)、事件描述和可能的详细信息。解析代码需要能够识别并提取这些关键元素。 3. **正则表达式**:在...

    用好事件查看器操作系统在后记录下所有的一举一动

    其次,安全日志专注于审计和追踪系统安全相关的事件。它记录了登录尝试、权限更改、系统策略更新等与安全有关的活动。通过分析这些日志,用户可以评估系统的安全性,了解是否有未授权的访问或恶意行为发生。 再者,...

    UC17_查询系统日志用例描述1

    1. **用例描述编号UC17**:这是对功能模块的唯一标识,便于管理和追踪。"UC"通常代表“Use Case”,表示这是一个用户与系统交互的情境。 2. **创建人及修改者**:倪安松在这个用例中担任了创建者和最后修改者的角色...

    WindowsXP安全加固方案

    描述:配置日志和审核策略,以监视和记录系统中的安全事件。 2.1.4 安全选项策略配置 实施编号:Leadsec-WinXP-1104 实施名称:安全选项策略配置 描述:配置安全选项策略,以防止系统中的安全漏洞和风险。 ...

    日志管理系统需求分析.pdf

    - 日志审计:系统应能够记录所有与日志数据相关的操作,以便进行安全审计。 4. 用户接口和体验需求 - 用户接口和体验需求关注系统的可用性,例如: - 界面友好:日志管理系统应提供直观易用的用户界面。 - 帮助...

    运行部运行日志管理制度汇编.doc

    各岗位日志应根据自身职责进行个性化描述,与他人沟通的内容需注明时间、对象及内容。事件记录要体现事件的起因、经过、结果和对应时间,避免简单的流水账形式。同时,运行日志需要实现事件闭环管理,对问题和答疑...

    C#获取操作系统日志信息[文].pdf

    创建一个`EventLog`实例后,可以通过设置`Log`属性来指定要访问的日志类型,例如“Application”(应用程序日志)、“System”(系统日志)或“Security”(安全日志)。`LogDisplayName`属性则返回日志的友好名称,...

    发电厂检修监理日志填写规范

    不符合项和再鉴定项的记录同样重要,需记录编号、发出及关闭条数,以及相应的处理措施。对于现场发现的问题,不仅要记录现象,还要分析原因、提出纠正措施,并跟踪整改结果。事件记录需遵循PDCA循环原则,确保事事...

    QT实现日志文件备份功能(源码)

    3. **写入日志**:每当有日志事件发生时,通过`QTextStream`向日志文件追加内容,确保写入操作的原子性和安全性。 4. **检查文件大小**:在每次写入后,检查日志文件大小。如果超过设定阈值,执行备份流程。 5. **...

    日志-V1.00

    - **问题、行动、事件或评论**:描述具体的事件或问题。 - **责任人**:负责解决该问题或执行特定行动的人。 - **目标日期**:解决问题或完成行动的预期时间。 - **结果**:记录解决问题后的结果或当前状态。 #### ...

    区域卫生信息平台交互规范13:安全审计服务.pdf

    审计事件需要被记录,这些记录应当满足一系列的技术要求,包括触发事件的记录、审计事件编号的记录,以及相关角色和交易的记录等。 文件中提到的“触发事件”是指一系列可能产生审计事件的情况,例如服务的启动与...

    监理工作日志2016.12.pdf

    5. 问题与解决方案:详细记录在日志当天中遇到的问题,以及采取的措施和解决问题的方案。 6. 现场记录:记录现场实际情况,包括但不限于安全检查、质量控制、进度监控等。 7. 文件编号和备注:对当天产生的重要...

    真正通用的操作日志系统设计

    其中服务器端负责日志的存储与检索,而客户端则通过远程API调用来实现日志的发送与查询。 ##### 3.2 服务器端设计 服务器端的核心任务是管理日志数据。为了实现这一目标,服务器端需要设计如下表结构: - **gs_log...

Global site tag (gtag.js) - Google Analytics