本文將告訴您各種安全性相關,且相關的稽核事件在 Windows Vista 中和在 Windows Server 2008 中。本文也提供如何解譯這些事件的相關資訊。所有這些事件時,會顯示在安全性記錄檔,而且使用的 「 安全性-稽核 」 來源登。本文也將告訴您,如何擷取有關個別事件更具描述性資料。
依類別和子類別,此區段會列出所有 Windows Vista 安全性相關的稽核事件。
類別: 帳戶登入
子類別: 認證驗證
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4774 | 帳戶已對應的登入。 |
| 4775 | 無法對應登入的帳戶。 |
| 4776 | 網域控制站嘗試驗證帳戶認證。 |
| 4777 | 網域控制站無法驗證帳戶認證。 |
子類別: Kerberos 驗證服務
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4768 | 要求的 Kerberos 驗證票證 (TGT)。 |
| 4771 | Kerberos 預先驗證失敗。 |
| 4772 | Kerberos 驗證票證要求失敗。 |
子類別: Kerberos 服務票證作業
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4769 | 要求 Kerberos 服務票證。 |
| 4770 | Kerberos 服務票證已更新。 |
| 4773 | Kerberos 服務票證要求失敗。 |
類別: 帳戶管理
子類別: 應用程式群組管理
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4783 | 已建立基本的應用程式群組。 |
| 4784 | 已變更基本應用程式群組。 |
| 4785 | 成員已加入至基本應用程式群組。 |
| 4786 | 已將成員從基本的應用程式群組中移除。 |
| 4787 | 非成員已加入基本的應用程式群組。 |
| 4788 | 非成員已從基本的應用程式群組移除。 |
| 4789 | 已刪除基本應用程式群組。 |
| 4790 | 已建立 LDAP 查詢群組。 |
| 4791 | 已變更基本應用程式群組。 |
| 4792 | LDAP 查詢群組已被刪除。 |
子類別: 電腦帳戶管理
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4741 | 建立電腦帳戶。 |
| 4742 | 電腦帳戶已變更。 |
| 4743 | 已刪除電腦帳戶。 |
子類別: 通訊群組管理
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4744 | 已建立停用安全性的本機群組。 |
| 4745 | 已變更停用安全性的本機群組。 |
| 4746 | 成員已加入停用安全性的本機群組。 |
| 4747 | 已將成員從停用安全性的本機群組中移除。 |
| 4748 | 已刪除停用安全性的本機群組。 |
| 4749 | 已建立停用安全性的通用群組。 |
| 4750 | 已變更停用安全性的通用群組。 |
| 4751 | 成員已加入停用安全性的通用群組。 |
| 4752 | 已將成員從停用安全性的通用群組中移除。 |
| 4753 | 已刪除停用安全性的通用群組。 |
| 4759 | 已建立停用安全性的萬用群組。 |
| 4760 | 已變更停用安全性的萬用群組。 |
| 4761 | 成員已加入停用安全性的萬用群組。 |
| 4762 | 已將成員從停用安全性的萬用群組中移除。 |
子類別: 其他帳戶管理事件
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4739 | 已變更網域原則。 |
| 4782 | 存取密碼雜湊的帳戶。 |
| 4793 | 密碼原則檢查 API 呼叫。 |
子類別: 安全性群組管理
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4727 | 已建立啟用安全性的通用群組。 |
| 4728 | 成員已加入到已啟用安全性的通用群組。 |
| 4729 | 成員已從啟用安全性的全域群組移除。 |
| 4730 | 已刪除啟用安全性的通用群組。 |
| 4731 | 已建立啟用安全性的本機群組。 |
| 4732 | 成員已加入啟用安全性的本機群組。 |
| 4733 | 成員已從啟用安全性的本機群組移除。 |
| 4734 | 已刪除啟用安全性的本機群組。 |
| 4735 | 已變更啟用安全性的本機群組。 |
| 4737 | 已變更啟用安全性的通用群組。 |
| 4754 | 建立安全性啟用的萬用群組。 |
| 4755 | 已變更啟用安全性的萬用群組。 |
| 4756 | 成員已加入啟用安全性的萬用群組。 |
| 4757 | 將成員已從啟用安全性的萬用群組中移除。 |
| 4758 | 已刪除啟用安全性的萬用群組。 |
| 4764 | 群組 ’s 型別已變更。 |
子類別: 使用者帳戶管理
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4720 | 建立使用者帳戶。 |
| 4722 | 已啟用使用者帳戶。 |
| 4723 | 嘗試變更帳戶的密碼。 |
| 4724 | 嘗試重設帳戶的密碼。 |
| 4725 | 使用者帳戶已停用。 |
| 4726 | 已刪除使用者帳戶。 |
| 4738 | 已變更使用者帳戶。 |
| 4740 | 使用者帳戶被鎖定。 |
| 4765 | 加入帳戶 SID 歷程記錄。 |
| 4766 | 新增到系統帳戶的 SID 歷程記錄失敗。 |
| 4767 | 使用者帳戶已解除鎖定。 |
| 4780 | 系統管理員群組成員的帳戶上設定 ACL。 |
| 4781 | 已變更的帳戶名稱: |
| 4794 | 嘗試設定目錄服務還原模式。 |
| 5376 | 認證管理員憑證備份。 |
| 5377 | 認證管理員認證已從備份還原。 |
分類: 詳細的追蹤
子類別: DPAPI 活動
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4692 | 嘗試備份的資料保護主要金鑰。 |
| 4693 | 嘗試恢復損毀的資料保護主要金鑰。 |
| 4694 | 嘗試保護可稽核的受保護資料。 |
| 4695 | 嘗試 unprotection 可稽核的受保護資料。 |
子類別: 處理程序建立
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4688 | 已建立新的處理程序。 |
| 4696 | 若要處理指派給主要權杖。 |
子類別: 處理程序終止
子類別: RPC 事件
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 5712 | 嘗試在遠端程序呼叫 (RPC)。 |
分類: DS 存取
子類別: 詳細的目錄服務複寫
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4928 | 已建立 Active Directory 複本來源命名內容。 |
| 4929 | Active Directory 複本來源命名內容已被移除。 |
| 4930 | Active Directory 複本來源命名內容,已修改。 |
| 4931 | Active Directory 複本目的地命名內容,已修改。 |
| 4934 | 複寫 Active Directory 物件的屬性。 |
| 4935 | 開始複寫失敗。 |
| 4936 | 複寫失敗結束。 |
| 4937 | 已從複本中移除延遲物件。 |
子類別: 目錄服務存取
子類別: 目錄服務變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 5136 | 目錄服務物件已修改。 |
| 5137 | 建立目錄服務物件。 |
| 5138 | 目錄服務物件是未刪除。 |
| 5139 | 移動目錄服務物件。 |
只在 Windows Vista Service Pack 1 和 Windows Server 2008 中使用下列的事件中目錄服務變更子類別。
子類別: 目錄服務複寫
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4932 | Active Directory 命名內容的複本的同步處理已開始。 |
| 4933 | Active Directory 命名內容的複本的同步處理已結束。 |
分類: 登入/登出
子類別: IPsec 延伸的模式
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4978 | 在延伸模式交涉期間 IPsec 接收到無效的交涉封包。如果此問題持續發生,它可能表示網路問題或嘗試修改或重新執行此交涉。 |
| 4979 | 已建立 IPsec 主要模式和延伸模式安全性關聯。 |
| 4980 | 已建立 IPsec 主要模式和延伸模式安全性關聯。 |
| 4981 | 已建立 IPsec 主要模式和延伸模式安全性關聯。 |
| 4982 | 已建立 IPsec 主要模式和延伸模式安全性關聯。 |
| 4983 | IPsec 延伸模式交涉失敗。已刪除對應的主要模式安全性關聯。 |
| 4984 | IPsec 延伸模式交涉失敗。已刪除對應的主要模式安全性關聯。 |
子類別: IPsec 主要模式
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4646 | IKE DoS 預防模式啟動。 |
| 4650 | 已建立 IPsec 主要模式安全性關聯。未啟用延伸的模式。 不使用憑證驗證。 |
| 4651 | 已建立 IPsec 主要模式安全性關聯。未啟用延伸的模式。 使用驗證的憑證。 |
| 4652 | IPsec 主要模式交涉失敗。 |
| 4653 | IPsec 主要模式交涉失敗。 |
| 4655 | IPsec 主要模式安全性關聯結束。 |
| 4976 | 在主要模式交涉期間 IPsec 接收到無效的交涉封包。如果此問題持續發生,它可能表示網路問題或嘗試修改或重新執行此交涉。 |
| 5049 | IPsec 安全性關聯已刪除。 |
| 5453 | 與遠端電腦的 IPsec 交涉失敗,因為 IKE 和 AuthIP IPsec 金鑰模組 (IKEEXT) 服務尚未啟動。 |
子類別: IPsec 快速模式
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4654 | IPSec 快速模式交涉失敗。 |
| 4977 | 在快速模式交涉期間 IPsec 接收到無效的交涉封包。如果此問題持續發生,它可能表示網路問題或嘗試修改或重新執行此交涉。 |
| 5451 | 已建立 IPSec 快速模式安全性關聯。 |
| 5452 | IPSec 快速模式安全性關聯結束。 |
子類別: 登出
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4634 | 帳戶已經登出。 |
| 4647 | 使用者啟始登出。 |
子類別: 登入
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4624 | 帳戶已成功登入。 |
| 4625 | 帳戶登入失敗。 |
| 4648 | 登入嘗試使用明確認證。 |
| 4675 | 篩選過的 SID。 |
網路原則伺服器子類別中的所有事件都都只在 Windows Vista Service Pack 1 和 Windows Server 2008 中。
子類別: 網路原則伺服器
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 6272 | 網路原則伺服器授與使用者的存取。 |
| 6273 | 網路原則伺服器拒絕使用者存取。 |
| 6274 | 網路原則伺服器捨棄使用者的要求。 |
| 6275 | 網路原則伺服器捨棄使用者帳戶處理的要求。 |
| 6276 | 網路原則伺服器隔離使用者。 |
| 6277 | 網路原則伺服器授與使用者存取,但將其放置在 probation,因為主應用程式不符合已定義的健康情況原則。 |
| 6278 | 因為主應用程式符合已定義的健康原則,網路原則伺服器授與給使用者完整存取權限。 |
| 6279 | 網路原則伺服器鎖定使用者帳戶,因為重複的失敗的驗證嘗試。 |
| 6280 | 網路原則伺服器解除鎖定使用者帳戶。 |
子類別: 其他登入/登出事件
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4649 | 偵測到重播攻擊。 |
| 4778 | 工作階段已重新連接到視窗站。 |
| 4779 | 一個工作階段已切斷連線,從視窗站。 |
| 4800 | 工作站已鎖定。 |
| 4801 | 工作站已解除鎖定。 |
| 4802 | 螢幕保護裝置被叫用的。 |
| 4803 | 螢幕保護裝置已關閉。 |
| 5378 | 由原則不允許要求的認證委派。 |
| 5632 | 提出來驗證無線網路的要求。 |
| 5633 | 提出向有線網路驗證的要求。 |
子類別: 特殊登入
分類: 物件存取
產生的子類別: 應用程式
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4665 | 嘗試建立應用程式用戶端內容。 |
| 4666 | 應用程式嘗試執行作業: |
| 4667 | 應用程式用戶端內容已被刪除。 |
| 4668 | 初始化應用程式。 |
子類別: 憑證服務
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4868 | 憑證管理員拒絕擱置的憑證要求。 |
| 4869 | 「 憑證服務 」 收到 resubmitted 的憑證要求。 |
| 4870 | 「 憑證服務撤銷憑證。 |
| 4871 | 憑證服務 」 收到了發佈憑證撤銷清單 (CRL) 的要求。 |
| 4872 | 「 憑證服務發佈憑證撤銷清單 (CRL)。 |
| 4873 | 憑證要求延伸變更。 |
| 4874 | 一或多個憑證的要求屬性變更。 |
| 4875 | 憑證服務 」 收到了關機的要求。 |
| 4876 | 憑證服務備份已啟動。 |
| 4877 | 憑證服務備份已完成。 |
| 4878 | 憑證服務還原已啟動。 |
| 4879 | 憑證服務還原已完成。 |
| 4880 | 「 憑證服務已啟動。 |
| 4881 | 「 憑證服務已停止。 |
| 4882 | 變更憑證服務的安全性權限。 |
| 4883 | 「 憑證服務擷取的保存的金鑰。 |
| 4884 | 「 憑證服務匯入其資料庫的憑證。 |
| 4885 | 憑證服務變更的稽核篩選器。 |
| 4886 | 「 憑證服務 」 收到了憑證要求。 |
| 4887 | 「 憑證服務核准憑證要求,並發出憑證。 |
| 4888 | 「 憑證服務拒絕憑證要求。 |
| 4889 | 「 憑證服務會設定為擱置的憑證要求狀態。 |
| 4890 | 變更憑證管理員設定憑證服務。 |
| 4891 | 憑證服務 」 中變更一個設定項目。 |
| 4892 | 變更 「 憑證服務 」 的屬性。 |
| 4893 | 「 憑證服務封存索引鍵。 |
| 4894 | 「 憑證服務匯入,並保存金鑰。 |
| 4895 | 「 憑證服務發行 CA 憑證至 Active Directory 網域服務。 |
| 4896 | 已從憑證資料庫刪除一或多個資料列。 |
| 4897 | 啟用角色區隔: |
| 4898 | 「 憑證服務載入範本。 |
| 4899 | 憑證服務範本已更新。 |
| 4900 | 憑證服務範本安全性已更新。 |
| 5120 | OCSP 回應者服務已啟動。 |
| 5121 | OCSP 回應程式服務已停止。 |
| 5122 | OCSP 回應者服務中變更一個組態項目。 |
| 5123 | OCSP 回應者服務中變更一個設定項目。 |
| 5124 | 安全性設定已更新上 OCSP 回應者服務。 |
| 5125 | 要求已提交至 OCSP 回應者服務。 |
| 5126 | 簽署憑證已自動更新由 OCSP 回應者服務。 |
| 5127 | OCSP 撤銷提供者已成功更新撤銷資訊。 |
子類別: 檔案共用
子類別: 檔案系統
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4664 | 嘗試建立永久連結。 |
| 4985 | 交易的狀態已經變更。 |
| 5051 | 檔案已虛擬化。 |
子類別: 篩選平台連線
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 5031 | Windows 防火牆服務封鎖應用程式接受連入網路連線。 |
| 5154 | Windows 篩選平台有允許應用程式或服務在連接埠上接聽連入連線的。 |
| 5155 | Windows 篩選平台已封鎖應用程式或從在連接埠上聆聽連入連線的服務。 |
| 5156 | Windows 篩選平台已允許連線。 |
| 5157 | Windows 篩選平台已封鎖的連接。 |
| 5158 | Windows 篩選平台有允許本機連接埠繫結。 |
| 5159 | Windows 篩選平台已封鎖到本機連接埠繫結。 |
子類別: 篩選平台封包拖放
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 5152 | Windows 篩選平台封鎖封包。 |
| 5153 | 更嚴格的 Windows 篩選平台篩選器已封鎖封包。 |
子類別: 控制碼操作
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4656 | 要求物件的控制代碼。 |
| 4658 | 物件控制碼已關閉。 |
| 4690 | 嘗試複製物件的控制代碼。 |
子類別: 其他物件存取事件
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4671 | 應用程式嘗試透過 [TBS.存取封鎖的序數 |
| 4691 | 要求物件的間接存取。 |
| 4698 | 建立排定的工作。 |
| 4699 | 排定的工作已刪除。 |
| 4700 | 已啟用排定的工作。 |
| 4701 | 排定的工作已停用。 |
| 4702 | 排定的工作已更新。 |
| 5888 | 已修改 COM + 類別目錄中的物件。 |
| 5889 | 從 COM + 類別目錄已刪除的物件。 |
| 5890 | 新增一個物件到 COM + 類別目錄。 |
子類別: 登錄
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4657 | 登錄值已修改。 |
| 5039 | 登錄機碼已虛擬化。 |
子類別: Special Multi-use Subcategory
附註當啟用它的子類別任何資源管理員可能會產生下列事件。比方說登錄資源管理員,或檔案系統資源管理員,可能會產生下列事件。「 物件存取: 核心物件"與"物件存取:: SAM 」 子類別都是以獨佔模式使用這些事件的子類別的範例。
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4659 | 若要刪除的意圖要求物件的控制代碼。 |
| 4660 | 已刪除的物件。 |
| 4661 | 要求物件的控制代碼。 |
| 4663 | 嘗試存取的物件。 |
分類: 原則變更
子類別: 稽核原則變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4715 | 在物件上的稽核原則 (SACL) 已變更。 |
| 4719 | 已變更系統稽核原則。 |
| 4902 | 建立每位使用者的稽核原則表格。 |
| 4904 | 嘗試註冊安全性事件來源。 |
| 4905 | 嘗試移除註冊的安全性事件來源。 |
| 4906 | CrashOnAuditFail 值已變更。 |
| 4907 | 在物件上的稽核設定已變更。 |
| 4908 | 修改的特殊群組登入表格。 |
| 4912 | 每個使用者的稽核原則已變更。 |
子類別: 驗證原則變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4706 | 網域建立新的信任。 |
| 4707 | 已移除網域的信任。 |
| 4713 | Kerberos 原則已變更。 |
| 4716 | 已修改受信任的網域資訊。 |
| 4717 | 帳戶已授與系統的安全性存取權。 |
| 4718 | 系統的安全性存取權已從帳號移除。 |
| 4864 | 偵測到命名空間衝突。 |
| 4865 | 加入受信任的樹系資訊項目。 |
| 4866 | 已移除受信任的樹系資訊項目。 |
| 4867 | 已修改受信任的樹系資訊項目。 |
子類別: 授權原則變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4704 | 指派給使用者的權限。 |
| 4705 | 已移除使用者權限。 |
| 4714 | 加密的資料修復原則已變更。 |
子類別: 篩選平台原則變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4709 | IPsec 服務已啟動。 |
| 4710 | IPsec 服務已停用。 |
| 4711 | 可能包含下列其中一項動作:- PAStore 引擎會套用在電腦上的 Active Directory 儲存 IPsec 原則的本機快取的複本。
- PAStore 引擎在電腦上套用 Active Directory 儲存 IPsec 原則。
- PAStore 引擎會套用在電腦上的本機登錄儲存 IPsec 原則。
- PAStore 引擎無法在電腦上套用的 Active Directory 儲存 IPsec 原則的本機快取的複本。
- PAStore 引擎無法在電腦上套用 Active Directory 儲存 IPsec 原則。
- PAStore 引擎無法套用在電腦上的本機登錄儲存 IPsec 原則。
- PAStore 引擎無法將作用中的 IPsec 原則的某些規則套用在電腦上。
- PAStore 引擎無法載入目錄儲存在電腦上的 IPsec 原則。
- PAStore 引擎載入目錄儲存在電腦上的 IPsec 原則。
- PAStore 引擎無法載入本機儲存在電腦上的 IPsec 原則。
- PAStore 引擎載入本機儲存在電腦上的 IPsec 原則。
- PAStore 引擎輪詢一次對作用中的 IPsec 原則的變更,並偵測到任何變更。
|
| 4712 | IPsec 服務發生潛在的嚴重失敗。 |
| 5040 | 已變更 IPsec 設定。加入驗證設定。 |
| 5041 | 已變更 IPsec 設定。已修改的驗證設定。 |
| 5042 | 已變更 IPsec 設定。驗證設定已刪除。 |
| 5043 | 已變更 IPsec 設定。已新增連線安全性規則。 |
| 5044 | 已變更 IPsec 設定。修改連線安全性規則。 |
| 5045 | 已變更 IPsec 設定。連線安全性規則已被刪除。 |
| 5046 | 已變更 IPsec 設定。加入加密設定。 |
| 5047 | 已變更 IPsec 設定。加密設定已修改。 |
| 5048 | 已變更 IPsec 設定。加密設定已刪除。 |
| 5440 | 下列的圖說文字已經存在時,Windows 篩選平台基底篩選引擎已啟動。 |
| 5441 | 下列篩選條件已存在時,Windows 篩選平台基底篩選引擎已啟動。 |
| 5442 | 下列提供者已存在時,Windows 篩選平台基底篩選引擎已啟動。 |
| 5443 | 下列提供者內容已存在時,Windows 篩選平台基底篩選引擎已啟動。 |
| 5444 | 下列 sub-layer 已存在時,Windows 篩選平台基底篩選引擎已啟動。 |
| 5446 | Windows 篩選平台圖說文字已經變更。 |
| 5448 | 已變更 Windows 篩選平台提供者。 |
| 5449 | Windows 篩選平台提供者內容已經變更。 |
| 5450 | Windows 篩選平台 sub-layer 已經變更。 |
| 5456 | PAStore 引擎在電腦上套用 Active Directory 儲存 IPsec 原則。 |
| 5457 | PAStore 引擎無法在電腦上套用 Active Directory 儲存 IPsec 原則。 |
| 5458 | PAStore 引擎會套用在電腦上的 Active Directory 儲存 IPsec 原則的本機快取的複本。 |
| 5459 | PAStore 引擎無法在電腦上套用的 Active Directory 儲存 IPsec 原則的本機快取的複本。 |
| 5460 | PAStore 引擎會套用在電腦上的本機登錄儲存 IPsec 原則。 |
| 5461 | PAStore 引擎無法套用在電腦上的本機登錄儲存 IPsec 原則。 |
| 5462 | PAStore 引擎無法將作用中的 IPsec 原則的某些規則套用在電腦上。使用 IP 安全性監視器嵌入式管理單元來診斷問題。 |
| 5463 | PAStore 引擎輪詢一次對作用中的 IPsec 原則的變更,並偵測到任何變更。 |
| 5464 | PAStore 引擎輪詢變更作用中的 IPsec 原則、 偵測到變更,且套用到 IPsec 服務。 |
| 5465 | PAStore 引擎收到強制重新載入 IPsec 原則的控制項,並且順利處理控制項。 |
| 5466 | PAStore 引擎輪詢一次對判定 Active Directory 無法到達,將改使用 Active Directory IPsec 原則的快取的複本在 Active Directory IPsec 原則的變更。因為無法套用上次輪詢 Active Directory IPsec 原則所做的任何變更。 |
| 5467 | PAStore 引擎輪詢判斷 Active Directory 可達到,並找到沒有該原則的變更在 Active Directory IPsec 原則的變更。不再使用 Active Directory IPsec 原則的快取的複本。 |
| 5468 | PAStore 引擎輪詢判斷 Active Directory 可以達到、 找到該原則的變更及套用這些變更在 Active Directory IPsec 原則的變更。不再使用 Active Directory IPsec 原則的快取的複本。 |
| 5471 | PAStore 引擎載入本機儲存在電腦上的 IPsec 原則。 |
| 5472 | PAStore 引擎無法載入本機儲存在電腦上的 IPsec 原則。 |
| 5473 | PAStore 引擎載入目錄儲存在電腦上的 IPsec 原則。 |
| 5474 | PAStore 引擎無法載入目錄儲存在電腦上的 IPsec 原則。 |
| 5477 | PAStore 引擎無法新增快速模式篩選器。 |
子類別: MPSSVC 規則層級原則變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4944 | 「 Windows 防火牆 」 啟動時,下列的原則所使用。 |
| 4945 | 「 Windows 防火牆 」 啟動時,已列出規則。 |
| 4946 | 已變更 Windows 防火牆 」 的例外清單。加入規則。 |
| 4947 | 已變更 Windows 防火牆 」 的例外清單。已修改的規則。 |
| 4948 | 已變更 Windows 防火牆 」 的例外清單。一個規則將被刪除。 |
| 4949 | Windows 防火牆設定值已還原為預設值。 |
| 4950 | Windows 防火牆設定已經變更。 |
| 4951 | 規則已被忽略,因為它的主要版本號碼無法辨認的 Windows 防火牆。 |
| 4952 | 部分的規則已被忽略,因為無法辨識它的次要版本號碼的 Windows 防火牆所。將強制執行規則的其他組件。 |
| 4953 | 因為無法剖析規則的 Windows 防火牆已被忽略的規則。 |
| 4954 | Windows 防火牆群組原則設定值已經變更。套用新的設定。 |
| 4956 | Windows 防火牆已變更使用中的設定檔。 |
| 4957 | Windows 防火牆沒有套用下列規則: |
| 4958 | Windows 防火牆沒有套用下列規則,因為規則參照不設定這台電腦上的項目: |
| 5050 | 嘗試以程式設計的方式停用 Windows 防火牆使用 INetFwProfile.FirewallEnabled(FALSE) 介面的呼叫遭拒,因為 Windows Vista 上不支援此 API。這最有可能發生由於至這是與 Windows Vista 不相容的程式。請洽詢程式的製造商,請確定您有一個 Windows Vista 相容的程式版本。 |
子類別: 其他原則變更事件
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4909 | 本機原則設定為 [TBS 已變更。 |
| 4910 | 群組原則設定為 [TBS 已變更。 |
| 5063 | 嘗試執行密碼編譯提供者作業。 |
| 5064 | 嘗試執行密碼編譯內容作業。 |
| 5065 | 嘗試進行密碼編譯內容所做的修改。 |
| 5066 | 嘗試執行密碼編譯函式作業。 |
| 5067 | 嘗試進行密碼編譯函式所做的修改。 |
| 5068 | 嘗試執行密碼編譯函式提供者作業。 |
| 5069 | 嘗試加密函式的屬性操作。 |
| 5070 | 嘗試進行密碼編譯函式屬性修改。 |
| 5447 | Windows 篩選平台篩選條件已經變更。 |
| 6144 | 已成功套用群組原則物件中的安全性原則。 |
| 6145 | 處理群組原則物件中的安全性原則時發生一或多個錯誤。 |
子類別: Special Multi-use Subcategory
附註當啟用它的子類別任何資源管理員可能會產生下列事件。比方說登錄資源管理員,或檔案系統資源管理員,可能會產生下列事件。
類別: 特殊權限使用
子類別: 機密特殊權限使用 / 非機密特殊權限的使用
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4672 | 特殊權限指派給新的登入。 |
| 4673 | 特殊權限的服務呼叫。 |
| 4674 | 特殊權限的物件上嘗試執行作業。 |
分類: 系統
子類別: IPsec 驅動程式
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4960 | IPsec 丟棄輸入封包的完整性檢查失敗。如果此問題持續發生,它可能表示網路問題或該封包正在修改傳輸到這台電腦中。確認從遠端電腦傳送的封包是那些由電腦接收相同的。這個錯誤也可能表示其他 IPsec 實作的互通性問題。 |
| 4961 | IPsec 卸除,無法重新執行檢查的輸入封包。如果此問題持續發生,它可能表示對這台電腦的重播攻擊。 |
| 4962 | IPsec 卸除,無法重新執行檢查的輸入封包。輸入封包有太低一序列號碼,以確定並未重新執行。 |
| 4963 | IPsec 卸除應該是安全性的輸入純文字封包。這通常是由於變更它的 IPsec 原則,而不通知這台電腦的遠端電腦。這也可能是偽造的攻擊嘗試。 |
| 4965 | IPsec 會收到一封包從遠端電腦使用一個不正確安全性參數索引 (SPI)。這通常被因損毀的封包的故障硬體。如果這些錯誤仍然存在,確認從遠端電腦傳送的封包是那些由電腦接收相同的。這個錯誤也可能表示其他 IPsec 實作的互通性問題。在這種情況下如果不 impeded 連線,然後這些事件可略過。 |
| 5478 | IPsec 服務已順利啟動。 |
| 5479 | 已順利關機 IPsec 服務。IPsec 服務關機,可以將較大風險的網路攻擊的電腦或開放電腦給潛在的安全性風險。 |
| 5480 | IPsec 服務無法取得完整的電腦上的網路介面清單。這會帶來潛在的安全性風險,因為某些網路介面可能無法得到套用的 IPsec 篩選器所提供的保護。使用 IP 安全性監視器嵌入式管理單元來診斷問題。 |
| 5483 | IPsec 服務無法初始化 RPC 伺服器。IPsec 服務無法啟動。 |
| 5484 | IPsec 服務遇到嚴重的失敗,已被關閉。IPsec 服務關機,可以將較大風險的網路攻擊的電腦或開放電腦給潛在的安全性風險。 |
| 5485 | IPsec 服務無法處理之網路介面插件,並播放事件上的某些 IPsec 篩選器。這會帶來潛在的安全性風險,因為某些網路介面可能無法得到套用的 IPsec 篩選器所提供的保護。使用 IP 安全性監視器嵌入式管理單元來診斷問題。 |
子類別: 其他系統事件
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 5024 | 已順利啟動 Windows 防火牆服務。 |
| 5025 | Windows 防火牆服務已停止。 |
| 5027 | Windows 防火牆服務無法從本機存放區擷取安全性原則。服務將會繼續執行目前的原則。 |
| 5028 | Windows 防火牆服務無法剖析新的安全性原則。服務將會繼續與目前強制原則。 |
| 5029 | Windows 防火牆服務無法初始化驅動程式。服務將會繼續來強制執行目前的原則。 |
| 5030 | Windows 防火牆服務無法啟動。 |
| 5032 | Windows 防火牆無法將它封鎖接受連入連線網路上的應用程式會通知使用者。 |
| 5033 | Windows 防火牆驅動程式已順利啟動。 |
| 5034 | Windows 防火牆驅動程式已被停止。 |
| 5035 | Windows 防火牆驅動程式無法啟動。 |
| 5037 | Windows 防火牆驅動程式偵測到重大的執行階段錯誤。正在終止。 |
| 5058 | 金鑰檔的作業。 |
| 5059 | 索引鍵的遷移作業。 |
子類別: 安全性狀態變更
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4608 | Windows 正在啟動。 |
| 4616 | 系統時間已變更。 |
| 4621 | 系統管理員從 CrashOnAuditFail 修復系統。現在允許非系統管理員的使用者登入。一些可稽核的活動可能會不已記錄。 |
子類別: 安全性系統延伸
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4610 | 驗證封裝已經載入由本機安全性授權。 |
| 4611 | 受信任的登入程序已經註冊與本機安全性授權。 |
| 4614 | 安全性帳戶管理員已經載入通知封裝軟體。 |
| 4622 | 安全性封裝已經載入由本機安全性授權。 |
| 4697 | 服務已安裝在系統中。 |
子類別: 系統完整性
摺疊此表格展開此表格
| 識別碼 | 訊息 |
|---|
| 4612 | 配置給稽核訊息佇列的內部資源已經用完,前置的某些稽核遺失。 |
| 4615 | 無效的 LPC 通訊埠使用方式。 |
| 4618 | 發生受監視的安全性事件模式。 |
| 4816 | RPC 偵測到解密傳入的訊息時,違反完整性。 |
| 5038 | 程式碼完整性判定影像雜湊的檔案不正確。 檔案可能是損毀,因為未經授權的更改入侵或無效的雜湊可能因為潛在的磁碟裝置發生錯誤。 |
| 5056 | 執行密碼編譯的自我測試。 |
| 5057 | 密碼編譯基本操作失敗。 |
| 5060 | 驗證作業失敗。 |
| 5061 | 密碼編譯作業。 |
| 5062 | 核心模式密碼編譯自我測試執行。 |
如需有關 「 Wevtutil 」 公用程式的詳細資訊,請造訪下列 Microsoft 網站]:
如需有關 「 Auditpol 」 公用程式的詳細資訊,請造訪下列 Microsoft 網站]:
如需有關如何使用群組原則來設定詳細的安全性稽核設定的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
921469?
(http://support.microsoft.com/kb/921469/
)
如何使用群組原則來設定詳細的安全性稽核在 Windows Server 2008 網域、 Windows Server 2003 網域或 Windows 2000 網域的 Windows Vista 基礎和 Windows Server 2008 為基礎的電腦的設定
如需有關 Windows Vista 安全性指南的詳細資訊,請造訪下列 Microsoft 網站]:
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
