Windows Server 2008 R2 및 Windows 7에서 보안 이벤트 설명

기술 자료 번역 기술 자료 번역
기술 자료: 977519 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

여기에서는 Windows Server 2008 R2 및 Windows 7에서 여러 가지 보안 관련 및 감사 관련 이벤트에 설명합니다. 이 문서는 또한 이러한 이벤트를 해석 하는 방법에 대 한 정보를 제공 합니다. 이러한 이벤트를 모두 보안 로그에 나타나며 보안 감사원본과 함께 기록 됩니다. 이 문서는 또한 개별 이벤트에 대 한 보다 자세한 데이터를 검색 하는 방법을 설명 합니다.

추가 정보

이 여기서 범주와 하위 범주 모든 Windows 7 및 Windows Server 2008 R2 보안 감사와 관련 된 이벤트를 나열합니다.

범주: 계정 로그온

하위 범주: 자격 증명 유효성 검사

표 축소표 확대
ID 메시지
4774계정이는 로그온에 매핑 되었습니다.
4775로그온 계정을 매핑할 수 없습니다.
4776컴퓨터 계정에 대해 자격 증명의 유효성을 검사 하려고 했습니다.
4777도메인 컨트롤러 계정 자격 증명의 유효성을 검사 하지 못했습니다.

하위 범주: Kerberos 인증 서비스

표 축소표 확대
ID 메시지
4768Kerberos 인증 티켓 (TGT) 요청 했습니다.
4771Kerberos 사전 인증이 실패 했습니다.
4772Kerberos 인증 티켓 요청이 실패 했습니다.

하위 범주: Kerberos 서비스 티켓 운영

표 축소표 확대
ID 메시지
4769Kerberos 서비스 티켓을 요청 했습니다.
4770Kerberos 서비스 티켓을 갱신 했습니다.
4773Kerberos 서비스 티켓 요청이 실패 했습니다.

범주: 계정 관리

하위 범주: 응용 프로그램 그룹 관리

표 축소표 확대
ID 메시지
4783기본 응용 프로그램 그룹이 만들어졌습니다.
4784기본 응용 프로그램 그룹이 변경 되었습니다.
4785기본 응용 프로그램 그룹에 구성원이 추가 되었습니다.
4786기본 응용 프로그램 그룹에서 구성원이 제거 되었습니다.
4787비-구성원 기본 응용 프로그램 그룹에 추가 되었습니다.
4788비-구성원 기본 응용 프로그램 그룹에서 제거 되었습니다.
4789기본 응용 프로그램 그룹이 삭제 되었습니다.
4790LDAP 쿼리 그룹을 만들었습니다.
4791기본 응용 프로그램 그룹이 변경 되었습니다.
4792LDAP 쿼리 그룹 삭제 되었습니다.

하위 범주: 컴퓨터 계정 관리

표 축소표 확대
ID 메시지
4741컴퓨터 계정을 만들었습니다.
4742컴퓨터 계정이 변경 되었습니다.
4743컴퓨터 계정이 삭제 되었습니다.

하위 범주: 메일 그룹 관리

표 축소표 확대
ID 메시지
4744보안이 비활성화 된 로컬 그룹이 만들어졌습니다.
4745보안이 비활성화 된 로컬 그룹이 변경 되었습니다.
4746보안이 비활성화 된 로컬 그룹에 구성원이 추가 되었습니다.
4747보안이 비활성화 된 로컬 그룹에서 구성원이 제거 되었습니다.
4748보안이 비활성화 된 로컬 그룹이 삭제 되었습니다.
4749보안이 비활성화 된 글로벌 그룹이 만들어졌습니다.
4750보안이 비활성화 된 글로벌 그룹이 변경 되었습니다.
4751보안이 비활성화 된 글로벌 그룹에 구성원이 추가 되었습니다.
4752보안이 비활성화 된 글로벌 그룹에서 구성원이 제거 되었습니다.
4753보안이 비활성화 된 글로벌 그룹이 삭제 되었습니다.
4759보안이 비활성화 된 유니버설 그룹이 만들어졌습니다.
4760보안이 비활성화 된 유니버설 그룹이 변경 되었습니다.
4761보안이 비활성화 된 유니버설 그룹에 구성원이 추가 되었습니다.
4762보안이 비활성화 된 유니버설 그룹에서 구성원이 제거 되었습니다.

하위 범주: 다른 계정 관리 이벤트

표 축소표 확대
ID 메시지
4782암호 해시를 계정을 액세스 했습니다.
4793암호 정책 검사 API는 호출 했습니다.

하위 범주: 보안 그룹 관리

표 축소표 확대
ID 메시지
4727보안 된 글로벌 그룹이 만들어졌습니다.
4728보안 사용 글로벌 그룹에 구성원이 추가 되었습니다.
4729보안 된 글로벌 그룹에서 구성원이 제거 되었습니다.
4730보안 된 글로벌 그룹이 삭제 되었습니다.
4731보안 된 로컬 그룹이 만들어졌습니다.
4732보안 사용 로컬 그룹에 구성원이 추가 되었습니다.
4733보안 사용 로컬 그룹에서 구성원이 제거 되었습니다.
4734보안 된 로컬 그룹이 삭제 되었습니다.
4735보안 된 로컬 그룹이 변경 되었습니다.
4737보안 된 글로벌 그룹이 변경 되었습니다.
4754보안이 활성화 된 유니버설 그룹이 만들어졌습니다.
4755보안이 활성화 된 유니버설 그룹이 변경 되었습니다.
4756보안이 활성화 된 유니버설 그룹에 구성원이 추가 되었습니다.
4757보안이 활성화 된 유니버설 그룹에서 구성원이 제거 되었습니다.
4758보안이 활성화 된 유니버설 그룹이 삭제 되었습니다.
4764있는 그룹 형식이 변경 되었습니다.

하위 범주: 사용자 계정 관리

표 축소표 확대
ID 메시지
4720사용자 계정을 만들었습니다.
4722사용자 계정이 활성화 되었습니다.
4723계정의 암호를 변경 하려고 했습니다.
4724계정의 암호를 다시 설정 하려고 했습니다.
4725사용자 계정을 비활성화 되었습니다.
4726사용자 계정이 삭제 되었습니다.
4738사용자 계정이 변경 되었습니다.
4740사용자 계정이 잠겨.
4765계정의 SID 기록은 추가 되었습니다.
4766계정 SID 기록을 추가 하지 못했습니다.
4767사용자 계정 잠금이 해제 되었습니다.
4780관리자 그룹의 구성원 인 계정에 ACL 설정 되었습니다.
4781계정 이름이 변경 되었습니다.
4794디렉터리 서비스 복원 모드를 설정 하려고 했습니다.
5376자격 증명 관리자 자격 증명이 백업 되었습니다.
5377자격 증명 관리자 자격 증명은 백업에서 복원 되었습니다.

범주: 세부 추적

하위 범주: DPAPI 작업

표 축소표 확대
ID 메시지
4692데이터 보호 마스터 키를 백업 하려고 했습니다.
4693데이터 보호 마스터 키 복구를 시도 했습니다.
4694보호 된 감사 가능 데이터가 보호 하려고 했습니다.
4695보호 된 감사 가능 데이터가 unprotection 시도 했습니다.

하위 범주: 프로세스 생성

표 축소표 확대
ID 메시지
4688새 프로세스를 만들었습니다.
4696처리할 주 토큰이 할당 되었습니다.

하위 범주: 프로세스 종료

표 축소표 확대
ID 메시지
4689프로세스를 끝냈습니다.

하위 범주: RPC 이벤트

표 축소표 확대
ID 메시지
5712 한 원격 프로시저 호출 (RPC) 하려고 했습니다.

범주: DS 액세스

하위 범주: 세부 디렉터리 서비스 복제

표 축소표 확대
ID 메시지
4928Active Directory 복제 원본 명명 컨텍스트 설정 되었습니다.
4929Active Directory 복제 원본 명명 컨텍스트 제거 되었습니다.
4930Active Directory 복제 원본 명명 컨텍스트 수정 되었습니다.
4931Active Directory 복제 대상 명명 컨텍스트를 수정 했습니다.
4934Active Directory 개체의 특성 복제 되었습니다.
4935복제 실패 하기 시작합니다.
4936복제 오류를 종료합니다.
4937느린 개체가 복제 데이터베이스에서 제거 되었습니다.

하위 범주: 디렉터리 서비스 액세스

표 축소표 확대
ID 메시지
4662 개체에는 작업을 수행 합니다.

하위 범주: 디렉터리 서비스 변경

표 축소표 확대
ID 메시지
5136디렉터리 서비스 개체가 수정 되었습니다.
5137디렉터리 서비스 개체를 만들었습니다.
5138디렉터리 서비스 개체가 삭제 되었습니다.
5139디렉터리 서비스 개체가 이동 되었습니다.
5141 디렉터리 서비스 개체가 삭제 되었습니다.

하위 범주: 디렉터리 서비스 복제

표 축소표 확대
ID 메시지
4932Active Directory 명명 컨텍스트의 복제본의 동기화가 시작 됩니다.
4933Active Directory 명명 컨텍스트의 복제본의 동기화가 종료 되었습니다.

범주: 로그온/로그 오프

하위 범주: IPsec 확장 모드

표 축소표 확대
ID 메시지
4978확장된 모드 협상 중 IPsec 협상 잘못 된 패킷을 받았습니다. 이 문제가 계속 되 면 네트워크 문제 또는 수정 하거나이 협상 재생을 나타냅니다.
4979IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다.
4980IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다.
4981IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다.
4982IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다.
4983IPsec 확장 모드 협상에 실패 했습니다. 해당 주 모드 보안 연결이 삭제 되었습니다.
4984IPsec 확장 모드 협상에 실패 했습니다. 해당 주 모드 보안 연결이 삭제 되었습니다.

하위 범주: IPsec 주 모드

표 축소표 확대
ID 메시지
4646IKE DoS 방지 모드를 시작 합니다.
4650IPsec 주 모드 보안 연결을 설정 했습니다. 확장된 모드를 사용할 수 없습니다. 인증서 인증을 사용 하지 않았습니다.
4651IPsec 주 모드 보안 연결을 설정 했습니다. 확장된 모드를 사용할 수 없습니다. 인증서 인증을 위해 사용 되었습니다.
4652IPsec 주 모드 협상이 실패 합니다.
4653IPsec 주 모드 협상이 실패 합니다.
4655IPsec 주 모드 보안 연결이 종료 되었습니다.
4976주 모드 협상 중 IPsec 협상 잘못 된 패킷을 받았습니다. 이 문제가 계속 되 면 네트워크 문제 또는 수정 하거나이 협상 재생을 나타냅니다.
5049IPsec 보안 연결을 삭제 했습니다.
5453IPsec 정책 에이전트 컴퓨터에서 Active Directory 저장소 IPsec 정책을 적용 합니다.

하위 범주: IPsec 빠른 모드

표 축소표 확대
ID 메시지
4654IPsec 빠른 모드 협상에 실패 했습니다.
4977빠른 모드 협상 중 IPsec 협상 잘못 된 패킷을 받았습니다. 이 문제가 계속 되 면 네트워크 문제 또는 수정 하거나이 협상 재생을 나타냅니다.
5451IPsec 빠른 모드 보안 연결을 설정 했습니다.
5452IPsec 빠른 모드 보안 연결이 종료 되었습니다.

하위 범주: 로그 오프

표 축소표 확대
ID 메시지
4634 계정 로그 오프 되었습니다.
4647 사용자 로그 오프를 시작 합니다.

하위 범주: 로그온

표 축소표 확대
ID 메시지
4624계정을은 성공적으로 로그온 했습니다.
4625계정에 로그온 하지 못했습니다.
4648명시적 자격 증명을 사용 하 여 로그온을 시도 했습니다.
4675Sid가 필터링 되었습니다.

하위 범주: 네트워크 정책 서버

표 축소표 확대
ID 메시지
6272네트워크 정책 서버 사용자에 게 액세스 권한이 부여 됩니다.
6273네트워크 정책 서버 사용자에 액세스할 수 없습니다.
6274네트워크 정책 서버 사용자에 대 한 요청이 삭제 됩니다.
6275네트워크 정책 서버 사용자 계정 요청을 무시.
6276네트워크 정책 서버 사용자를 격리 합니다.
6277네트워크 정책 서버 사용자에 게 액세스 권한이 부여 되지만 호스트 정의 된 상태 정책을 충족 하지 않았습니다 때문에 시험 중에 넣습니다.
6278네트워크 정책 서버 호스트 정의 된 상태 정책을 충족 하기 때문에 사용자에 게 전체 액세스를 부여.
6279네트워크 정책 서버 반복 되는 실패 한 인증 시도 때문에 사용자 계정이 잠겼습니다.
6280네트워크 정책 서버 사용자 계정 잠금이 해제 됩니다.

하위 범주: 기타 로그온/로그 오프 이벤트

표 축소표 확대
ID 메시지
4649재생 공격이 검색 되었습니다.
4778세션 창 스테이션 다시 연결 되었습니다.
4779창 스테이션에서 세션 연결이 끊어졌습니다.
4800워크스테이션이 잠겼습니다.
4801워크스테이션의 잠금이 해제 되었습니다.
4802화면 보호기 호출 된.
4803화면 보호기를 해제 합니다.
5378요청한 자격 증명 위임 정책에 의해 허용 되었습니다.
5632무선 네트워크에 인증을 요청 했습니다.
5633유선된 네트워크에 인증을 요청 했습니다.

하위 범주: 특수 로그온

표 축소표 확대
ID 메시지
4964 새 로그온에 할당 된 특별 한 그룹.

범주: 개체 액세스

하위 범주: 응용 프로그램 생성

표 축소표 확대
ID 메시지
4665응용 프로그램 클라이언트 컨텍스트를 만들려고 시도 했습니다.
4666응용 프로그램 작업을 시도 했습니다.
4667응용 프로그램 클라이언트 컨텍스트가 삭제 되었습니다.
4668응용 프로그램이 초기화 되었습니다.

하위 범주: 인증 서비스

표 축소표 확대
ID 메시지
4868인증서 관리자 보류 중인 인증서 요청을 거부 했습니다.
4869인증서 서비스에서 다시 제출 된 인증서 요청을 받았습니다.
4870인증서 서비스는 인증서를 해지 했습니다.
4871인증서 서비스에서 인증서 해지 목록 (CRL)을 게시 하도록 요청을 받았습니다.
4872인증서 서비스에서 인증서 해지 목록 (CRL) 게시 합니다.
4873인증서 요청 확장이 변경 되었습니다.
4874하나 이상의 인증서 요청 특성이 변경 됩니다.
4875인증서 서비스가 종료 요청을 받았습니다.
4876인증서 서비스 백업을 시작 했습니다.
4877인증서 서비스 백업이 완료 되었습니다.
4878인증서 서비스 복원이 시작 되었습니다.
4879인증서 서비스 복원이 완료 되었습니다.
4880인증서 서비스가 시작 되었습니다.
4881인증서 서비스를 중지 합니다.
4882인증서 서비스에 대 한 보안 권한을 변경 합니다.
4883인증서 서비스에서 보관 된 키를 검색합니다.
4884인증서 서비스 데이터베이스에 인증서를 가져옵니다.
4885인증서 서비스의 감사 필터가 변경 됩니다.
4886인증서 서비스에서 인증서 요청을 받았습니다.
4887인증서 서비스에서 인증서 요청을 승인 및 인증서를 발급 합니다.
4888인증서 서비스에서 인증서 요청을 거부 합니다.
4889인증서 서비스는 인증서 요청 상태를 보류 중으로 설정 합니다.
4890인증서 서비스의 인증서 관리자 설정이 변경 됩니다.
4891인증서 서비스에서 변경할 구성 항목입니다.
4892인증서 서비스의 속성이 변경 됩니다.
4893인증서 서비스에서 키를 저장 합니다.
4894인증서 서비스를 가져온 및 키 보관.
4895인증서 서비스는 Active Directory 도메인 서비스에 CA 인증서를 게시 했습니다.
4896인증서 데이터베이스에서 하나 이상의 행이 삭제 되었습니다.
4897역할 구분 사용:
4898인증서 서비스 템플릿을 로드 합니다.
4899인증서 서비스 템플릿이 업데이트 되었습니다.
4900인증서 서비스 템플릿 보안 업데이트 되었습니다.
5120OCSP 응답자 서비스를 시작 합니다.
5121OCSP 응답자 서비스가 중지 되었습니다.
5122OCSP 응답자 서비스를 변경할 구성 항목입니다.
5123OCSP 응답자 서비스를 변경할 구성 항목입니다.
5124보안 설정은 OCSP 응답자 서비스에 업데이트 되었습니다.
5125요청이는 OCSP 응답자 서비스에 제출 되었습니다.
5126인증서 서명 OCSP 응답자 서비스에 의해 자동으로 업데이트 되었습니다.
5127OCSP 해지 공급자 해지 정보를 업데이트 했습니다.

하위 범주: 자세한 파일 공유

표 축소표 확대
ID 메시지
5145 클라이언트가 원하는 액세스 부여할 수 있는지 여부를 확인 하려면 네트워크 공유 개체를 체크 합니다.

하위 범주: 파일 공유

표 축소표 확대
ID 메시지
5140네트워크 공유 개체를 액세스 합니다.
5142네트워크 공유에 개체에 추가 되었습니다.
5143네트워크 공유 개체가 수정 되었습니다.
5144네트워크 공유 개체가 삭제 되었습니다.
5168SMB/SMB2 Spn 확인 하지 못했습니다.

하위 범주: 파일 시스템

표 축소표 확대
ID 메시지
4664하드 링크를 만들려고 했습니다.
4985트랜잭션 상태가 변경 되었습니다.
5051파일을 가상화 합니다.

하위 범주: 플랫폼 연결 필터링

표 축소표 확대
ID 메시지
5031Windows 방화벽 서비스가 네트워크에서 들어오는 연결을 허용 하지 못하도록 응용 프로그램을 차단.
5148Windows 필터링 플랫폼 DoS 공격이 검색 되었고 방어 모드입니다. 관련 된이 공격 패킷은 삭제 합니다.
5149DoS 공격에 수그러들 고 정상적인 처리를 다시 시작 했습니다.
5150Windows 필터링 플랫폼 패킷을 차단 했습니다.
5151보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단 했습니다.
5154Windows 필터링 플랫폼 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신 하도록 허용 했습니다.
5155응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신 하지 않도록 Windows 필터링 플랫폼 차단 했습니다.
5156Windows 필터링 플랫폼 연결을 허용 했습니다.
5157Windows 필터링 플랫폼 연결을 차단 했습니다.
5158Windows 필터링 플랫폼에 로컬 포트에 바인딩하기를 사용할 수 있습니다.
5159로컬 포트에 바인딩하기를 Windows 필터링 플랫폼 차단 했습니다.

하위 범주: 플랫폼 패킷 Drop 필터링

표 축소표 확대
ID 메시지
5152 Windows 필터링 플랫폼 패킷을 차단 했습니다.
5153 보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단 했습니다.

하위 범주: 핸들 조작

표 축소표 확대
ID 메시지
4656개체에 대 한 핸들을 요청 했습니다.
4658개체에 대 한 핸들이 닫혔습니다.
4690개체에 대 한 핸들을 복제 하려고 했습니다.

하위 범주: 기타 개체 액세스 이벤트

표 축소표 확대
ID 메시지
4671Tbs를 통해 차단 된 서 수를 액세스 하려고 응용 프로그램
4691개체에 대 한 간접 액세스를 요청 했습니다.
4698예약 된 작업을 만들었습니다.
4699예약 된 작업이 삭제 되었습니다.
4700예약된 된 작업을 사용할 수 있습니다.
4701예약 된 작업을 실행 하지 못했습니다.
4702예약 된 작업이 업데이트 되었습니다.
4702예약 된 작업이 업데이트 되었습니다.
5888COM + 카탈로그에 있는 개체가 수정 되었습니다.
5889COM + 카탈로그에서 개체가 삭제 되었습니다.
5890개체는 COM + 카탈로그 추가 되었습니다.

하위 범주: 레지스트리

표 축소표 확대
ID 메시지
4657 레지스트리 값을 수정 했습니다.
5039 레지스트리 키를 가상화 합니다.

하위 범주: 특수 다용도 하위 범주

참고 해당 하위 범주를 사용 하면 모든 리소스 관리자가 다음 이벤트를 생성할 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자가 생성 될 수 있습니다. 개체 액세스: 커널 개체개체 액세스: SAM 하위 범주는 하위 범주를 이러한 이벤트를 단독으로 사용 하는 예제입니다.
표 축소표 확대
ID 메시지
4659개체에 대 한 핸들을 삭제 하려면 의도로 요청 했습니다.
4660개체가 삭제 되었습니다.
4661개체에 대 한 핸들을 요청 했습니다.
4663개체에 액세스 하려고 했습니다.

범주: 정책 변경

하위 범주: 감사 정책 변경

표 축소표 확대
ID 메시지
4715개체 감사 정책 (SACL) 변경 되었습니다.
4719시스템 감사 정책이 변경 되었습니다.
4817개체에 대 한 감사 설정은 변경 했습니다.
4902사용자 당 감사 정책을 테이블을 만들었습니다.
4904보안 이벤트 소스를 등록할 했습니다.
4905보안 이벤트 소스를 등록 하려고 했습니다.
4906CrashOnAuditFail 값이 변경 되었습니다.
4907개체에 대 한 감사 설정은 변경 했습니다.
4908특수 그룹 로그온 테이블을 수정입니다.
4912사용자별 감사 정책 변경 되었습니다.

하위 범주: 인증 정책 변경

표 축소표 확대
ID 메시지
4706새 트러스트는 도메인을 만들었습니다.
4707도메인에 트러스트가 제거 되었습니다.
4713Kerberos 정책 변경 되었습니다.
4716트러스트 된 도메인 정보가 수정 되었습니다.
4717시스템 보안 액세스 계정에 부여 했습니다.
4718시스템 보안 액세스 계정에서 제거 되었습니다.
4739도메인 정책이 변경 되었습니다.
4864네임 스페이스 충돌이 감지 되었습니다.
4865트러스트 된 포리스트 정보 항목을 추가 했습니다.
4866트러스트 된 포리스트 정보 항목을 제거 했습니다.
4867트러스트 된 포리스트 정보 항목을 수정 했습니다.

하위 범주: 인증 정책 변경

표 축소표 확대
ID 메시지
4704사용자 권한이 할당 되었습니다.
4705사용자 권한이 제거 되었습니다.
4714암호화 파일 시스템 (EFS)에 대 한 데이터 복구 에이전트 그룹 정책 변경 되었습니다. 새 변경 내용이 적용 되었습니다.

하위 범주: 필터링 플랫폼 정책 변경

표 축소표 확대
ID 메시지
4709IPsec 정책 에이전트 서비스가 시작 되었습니다.
4710IPsec 정책 에이전트가 비활성화 되었습니다.
4711다음 중 하나를 포함할 수 있습니다.
  • PAStore 엔진이 컴퓨터에 로컬로 캐시 된 복사본이 Active Directory 저장소 IPsec 정책 적용합니다.
  • PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용 합니다.
  • PAStore 엔진이 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용 합니다.
  • PAStore 엔진이 컴퓨터에 로컬로 캐시 된 복사본이 Active Directory 저장소 IPsec 정책 적용 하지 못했습니다.
  • PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용 하지 못했습니다.
  • PAStore 엔진이 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용 하지 못했습니다.
  • PAStore 엔진이 컴퓨터에서 일부 활성 IPsec 정책 규칙을 적용할 수 없습니다.
  • PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드 하지 못했습니다.
  • PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드 합니다.
  • PAStore 엔진이 로컬 저장소 컴퓨터에서 IPsec 정책을 로드 하지 못했습니다.
  • PAStore 엔진이 로컬 저장소 컴퓨터에서 IPsec 정책을 로드 합니다.
  • PAStore 엔진이 활성 IPsec 정책 변경을 폴링합니다 및 검색 내용이 없습니다.
4712IPsec 정책 에이전트에 잠재적인 심각한 실패가 발생 했습니다.
5040IPsec 설정 변경 되었습니다. 인증 설정에 추가 되었습니다.
5041IPsec 설정 변경 되었습니다. 에 인증 집합이 수정 되었습니다.
5042IPsec 설정 변경 되었습니다. 에 인증 집합이 삭제 되었습니다.
5043IPsec 설정 변경 되었습니다. 연결 보안 규칙이 추가 되었습니다.
5044IPsec 설정 변경 되었습니다. 연결 보안 규칙 수정 되었습니다.
5045IPsec 설정 변경 되었습니다. 연결 보안 규칙이 삭제 되었습니다.
5046IPsec 설정 변경 되었습니다. 암호화 설정 추가 되었습니다.
5047IPsec 설정 변경 되었습니다. 암호화 설정 수정 되었습니다.
5048IPsec 설정 변경 되었습니다. 암호화 설정 삭제 되었습니다.
5440다음 설명선 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 했습니다.
5441다음 필터를 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 합니다.
5442다음 공급자가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 합니다.
5443다음 공급자 컨텍스트가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 했습니다.
5444다음 하위 계층 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 했습니다.
5446설명선 Windows 필터링 플랫폼 변경 되었습니다.
5448Windows 필터링 플랫폼 공급자가 변경 되었습니다.
5449Windows 필터링 플랫폼 공급자 컨텍스트 변경 되었습니다.
5450Windows 필터링 플랫폼 하위 레이어 변경 되었습니다.
5456PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용 합니다.
5457IPsec 정책 에이전트 컴퓨터에서 Active Directory 저장소 IPsec 정책을 적용 하지 못했습니다.
5458로컬로 적용 되는 IPsec 정책 에이전트가 Active Directory 저장소 IPsec 정책에는 컴퓨터의 복사본을 캐시 합니다.
5459IPsec 정책 에이전트 컴퓨터에서 로컬로 캐시 된 복사본이 Active Directory 저장소 IPsec 정책 적용 하지 못했습니다.
5460IPsec 정책 에이전트 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용 합니다.
5461IPsec 정책 에이전트 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용 하지 못했습니다.
5462IPsec 정책 에이전트가 컴퓨터에서 일부 활성 IPsec 정책 규칙을 적용 하지 못했습니다. IP 보안 모니터 스냅인을 사용 하 여 문제를 진단.
5463IPsec 정책 에이전트가 활성 IPsec 정책 변경을 폴링합니다 및 검색 내용이 없습니다.
5464IPsec 정책 에이전트가 활성 IPsec 정책 변경을 폴링합니다 변경 내용을 찾아서 적용 합니다.
5465IPsec 정책 에이전트가 IPsec 정책을 강제로 다시 로드 하기 위한 컨트롤을 받았으며 해당 컨트롤을 성공적으로 처리 하며
5466IPsec 정책 에이전트가 폴링 변경 내용을 Active Directory IPsec 정책을 Active Directory에 연결할 수 없습니다, 고 대신 Active Directory IPsec 정책의 캐시 된 복사본이 사용 됩니다. 변경 된 Active Directory IPsec 정책을 적용할 수 없는 마지막 폴링 이후에.
5467IPsec 정책 에이전트 폴링 변경 내용을 Active Directory IPsec 정책을 Active Directory에 도달와 정책에 변경 사항이 발견 될 수 있습니다 결정 합니다. Active Directory IPsec 정책의 캐시 된 복사본이 사용 되지 않습니다.
5468IPsec 정책 에이전트가 Active Directory IPsec 정책의 변경에 대 한 조사는 Active Directory 도달할 수, 정책에 변경 및 수정 사항을 적용 확인 했습니다. Active Directory IPsec 정책의 캐시 된 복사본이 사용 되지 않습니다.
5471IPsec 정책 에이전트가 로컬 저장소 컴퓨터에서 IPsec 정책을 로드 합니다.
5472IPsec 정책 에이전트가 로컬 저장소 컴퓨터에서 IPsec 정책을 로드 하지 못했습니다.
5473IPsec 정책 에이전트가 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드 합니다.
5474IPsec 정책 에이전트가 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드 하지 못했습니다.
5477IPsec 정책 에이전트가 빠른 모드 필터를 추가 하지 못했습니다.

하위 범주: MPSSVC 규칙 수준 정책 변경

표 축소표 확대
ID 메시지
4944Windows 방화벽을 시작할 때 다음 정책을 활성 되었습니다.
4945Windows 방화벽이 시작 될 때 규칙을 나열 했습니다.
4946Windows 방화벽 예외 목록에 변경 되었습니다. 규칙이 추가 되었습니다.
4947Windows 방화벽 예외 목록에 변경 되었습니다. 규칙 수정 되었습니다.
4948Windows 방화벽 예외 목록에 변경 되었습니다. 규칙이 삭제 되었습니다.
4949Windows 방화벽 설정은 기본 값으로 복원 되었습니다.
4950Windows 방화벽 설정이 변경 되었습니다.
4951Windows 방화벽 규칙을 무시는 주 버전 번호를 인식할 수 없습니다.
4952Windows 방화벽 규칙의 부분 무시의 부 버전 번호를 인식할 수 없습니다. 규칙의 다른 부분이 적용 됩니다.
4953Windows 방화벽 규칙을 무시 분석할 수 없습니다.
4954Windows 방화벽 그룹 정책 설정은 변경 되었습니다 및 새 설정이 적용 되었습니다.
4956Windows 방화벽 활성 프로 파일을 변경합니다.
4957Windows 방화벽 규칙을 적용 하지 않았습니다.
4958하지이 컴퓨터에 구성 된 항목을 규칙 참조 Windows 방화벽 규칙을 적용 하지 않았습니다.
5050이 API 현재이 버전의 Windows에서 지원 되지 않으므로 프로그래밍 방식으로 INetFwProfile.FirewallEnabled(FALSE) 인터페이스를 호출 하 여 Windows 방화벽을 해제 하려고 거부 되었습니다. 이 버전의 Windows와 호환 되지 않는 프로그램으로 인 한 것 같습니다. 호환 되는 프로그램 버전이 있는지 해당 프로그램 제조업체에 문의 하십시오.

하위 범주: 기타 정책 변경 이벤트

표 축소표 확대
ID 메시지
4909TBS에 대 한 로컬 정책 설정은 변경 했습니다.
4910TBS에 대 한 그룹 정책 설정은 변경 했습니다.
5063암호화 공급자가 작업이 시도 되었습니다.
5064암호화 컨텍스트 작업을 시도 했습니다.
5065암호화 컨텍스트를 수정 하려고 했습니다.
5066암호화 기능이 작업이 시도 되었습니다.
5067암호화 기능이 수정 하려고 했습니다.
5068암호화 기능이 공급자 작업을 시도 했습니다.
5069암호화 기능이 속성 작업이 시도 되었습니다.
5070암호화 기능이 속성 수정 하려고 했습니다.
5447Windows 필터링 플랫폼 필터 변경 되었습니다.
6144그룹 정책 개체의 보안 정책이 성공적으로 적용 되었습니다.
6145그룹 정책 개체의 보안 정책을 처리 하는 동안 하나 이상의 오류가 발생 했습니다.

하위 범주: 특수 다용도 하위 범주

참고 해당 하위 범주를 사용 하면 모든 리소스 관리자가 다음 이벤트를 생성할 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자가 생성 될 수 있습니다.
표 축소표 확대
ID 메시지
4670 개체에 사용 권한이 변경 되었습니다.

범주: 권한 사용

하위 범주: 중요 한 권한 사용 / 비 구분 권한 사용

표 축소표 확대
ID 메시지
4672새 로그온에 할당 된 권한입니다.
4673권한 있는 서비스가 호출 되었습니다.
4674권한 개체에서 작업이 시도 되었습니다.

범주: 시스템

하위 범주: IPsec 드라이버

표 축소표 확대
ID 메시지
4960IPsec는 무결성 검사를 실패 한 인바운드 패킷을 삭제 합니다. 이 문제가 계속 되 면 네트워크 문제 또는 해당 패킷을이 컴퓨터로 전송 중에 수정 되는 나타냅니다. 원격 컴퓨터에서 보낸 패킷이이 컴퓨터가 받는 것과 동일한 지 확인 합니다. 이 오류는 다른 IPsec 구현이 상호 운용성 문제 나타내기도 합니다.
4961IPsec 재생 검사에 실패 한 인바운드 패킷을 삭제 합니다. 이 문제가 계속 되 면이 컴퓨터에 대 한 재생 공격을 나타냅니다.
4962IPsec 재생 검사에 실패 한 인바운드 패킷을 삭제 합니다. 인바운드 패킷 재생 없습니다 하도록 너무 낮은 시퀀스 번호를 했습니다.
4963IPsec 보호 해야 하는 인바운드 일반 텍스트 패킷을 삭제 합니다. 요청 아웃 바운드 IPsec 정책을 사용 하 여 원격 컴퓨터를 구성 하는 경우이 심각 하지 않습니다 및 예상 수 있습니다. 이이 컴퓨터에 알리지 않고 IPsec 정책 변경 원격 컴퓨터에 의해 발생할 수도 있습니다. 스푸핑 공격 시도 수도 있습니다.
4965IPsec에는 잘못 된 보안 매개 변수 색인 (SPI) 원격 컴퓨터에서 패킷을 받았습니다. 일반적으로 작동 하지 않는 하드웨어 패킷 손상 되는 원인입니다. 이러한 오류가 지속 되 면 원격 컴퓨터에서 보낸 패킷이이 컴퓨터가 받는 것과 동일한 지 확인 합니다. 이 오류는 다른 IPsec 구현이 상호 운용성 문제 나타내기도 합니다. 경우 연결을 방해 하지는 경우 다음 이러한 이벤트는 무시 됩니다.
5478IPsec 정책 에이전트 서비스가 시작 되었습니다.
5479IPsec 서비스가 성공적으로 종료 되었습니다. IPsec 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험 전환 또는 잠재적인 보안 위험에 컴퓨터가 노출 수 있습니다.
5480IPsec 정책 에이전트 컴퓨터의 네트워크 인터페이스에 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스는 IPsec 필터를 적용된 하 여 제공 하는 보호 얻지 못할 수도 있기 때문에 보안 위험이 노출 합니다. IP 보안 모니터 스냅인을 사용 하 여 문제를 진단.
5483IPsec 정책 에이전트 서비스는 RPC 서버를 초기화 하지 못했습니다. 서비스를 시작할 수 없습니다.
5484IPsec 정책 에이전트가 심각한 오류가 및 종료 되었습니다. 이 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험 전환 또는 잠재적인 보안 위험에 컴퓨터가 노출 수 있습니다.
5485IPsec 정책 에이전트가 네트워크 인터페이스에 대 한 플러그 앤 플레이 이벤트에서 일부 IPsec 필터를 처리 하지 못했습니다. 일부 네트워크 인터페이스는 IPsec 필터를 적용된 하 여 제공 하는 보호 얻지 못할 수도 있기 때문에 보안 위험이 노출 합니다. IP 보안 모니터 스냅인을 사용 하 여 문제를 진단.

하위 범주: 기타 시스템 이벤트

표 축소표 확대
ID 메시지
5024Windows 방화벽 서비스를 시작 했습니다.
5025Windows 방화벽 서비스가 중지 되었습니다.
5027Windows 방화벽 서비스가 로컬 저장소에서 보안 정책을 검색할 수 없습니다. Windows 방화벽 계속 현재 정책을 적용 합니다.
5028Windows 방화벽에서 새 보안 정책을 구문 분석할 수 없습니다. Windows 방화벽 계속 현재 정책을 적용 합니다.
5029Windows 방화벽 서비스가 드라이버를 초기화 하지 못했습니다. Windows 방화벽 계속 현재 정책을 적용 합니다.
5030Windows 방화벽 서비스를 시작 하지 못했습니다.
5032Windows 방화벽 응용 프로그램을 네트워크에서 들어오는 연결을 수락에서 차단 됨을 사용자에 게 알릴 수 없습니다.
5033Windows 방화벽 드라이버를 시작 했습니다.
5034Windows 방화벽 드라이버를 중지 했습니다.
5035Windows 방화벽 드라이버를 시작 하지 못했습니다.
5037Windows 방화벽 드라이버 중요 한 런타임 오류가 종료 합니다.
5058키 파일 작업입니다.
5059키 마이그레이션 작업입니다.
6400BranchCache: 콘텐츠의 가용성을 검색 하는 동안 잘못 된 형식의 응답을 받았습니다.
6401BranchCache: 피어 로부터 잘못 된 데이터를 받았습니다. 데이터를 삭제 합니다.
6403BranchCache: 호스트 캐시 클라이언트에 대 한 잘못 된 형식의 응답을 보냅니다.
6404: BranchCache 호스트 캐시 인증할 수 없습니다 제공된 하는 SSL 인증서를 사용 하 여.
6405BranchCache: 이벤트 id가 %1의 %2 인스턴스가 발생 했습니다.
6406%1 다음 필터링 컨트롤을 Windows 방화벽으로 등록 된: %2
64071%

하위 범주: 보안 상태 변경

표 축소표 확대
ID 메시지
4608Windows 시작 중입니다.
4616시스템 시간이 변경 되었습니다.
4621관리자가 CrashOnAuditFail에서 시스템 복구. 관리자가 아닌 사용자가 로그온 할 때 이제 허용 됩니다. 일부 감사 가능한 작업이 기록 되지 않을 수 있습니다.

하위 범주: 보안 시스템 확장

표 축소표 확대
ID 메시지
4610로컬 보안 기관 인증 패키지를 로드 했습니다.
4611신뢰 된 로그온 프로세스가 로컬 보안 권한으로 등록 되었습니다.
4614보안 계정 관리자가 알림 패키지를 로드 했습니다.
4622로컬 보안 기관에 의해 보안 패키지를 로드 했습니다.
4697서비스는 시스템에 설치 되었습니다.

하위 범주: 시스템 무결성

표 축소표 확대
ID 메시지
4612감사 메시지 대기열에 할당 된 내부 리소스가 없으므로 일부 감사 손실.
4615LPC 포트 사용이 잘못 되었습니다.
4618모니터링 되는 보안 이벤트 패턴을 발생 했습니다.
4816RPC 들어오는 메시지의 암호를 해독 하는 동안 무결성 위반을 발견 했습니다.
5038코드 무결성을 파일의 이미지 해시 유효 하지 않음을 확인 했습니다. 파일이 무단된 수정으로 인해 손상 되었을 수 또는 잘못 된 해시 잠재적인 디스크 장치 오류 나타낼 수 있습니다.
5056암호화 자체 테스트 수행 되었습니다.
5057기본 암호화 작업을 실패 했습니다.
5060확인 작업이 실패 했습니다.
5061암호화 작업입니다.
5062커널-모드 암호화 자체 테스트 수행 되었습니다.
6281코드 무결성 이미지 파일의 페이지 해시가 유효한 지 확인 합니다. 파일 잘못 서명 된 페이지 해시를 없이 또는 무단된 수정으로 인해 손상 될 수 있습니다. 잘못 된 해시 잠재적인 디스크 장치 오류 나타낼 수 있습니다.

노트

  • 보다 반환 하려면 상세 목록은 모든 보안 감사 이벤트 항목을 관리자 권한으로 상승된 된 명령 프롬프트에서 다음 명령을 실행:
    wevtutil Microsoft에서 Windows에서 보안 감사 gp /ge /gm:true
    다음 예제에서는 출력의 일부를 보여 줍니다.
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • 모든 보안 감사 범주와 하위 범주의 목록을 반환할 관리자로 상승된 된 명령 프롬프트에서 다음 명령을 실행 합니다.
    auditpol /list /subcategory: *

참조

Wevtutil 유틸리티에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Auditpol 유틸리티에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
고급 보안 감사 정책 설정 Windows 7 및 Windows Server 2008 r 2에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://technet.microsoft.com/en-us/library/dd772712 (WS.10).aspx
Windows Vista 및 Windows Server 2008에서 보안 감사에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.
947226 Windows vista에서 및 Windows Server 2008에서는 보안 이벤트에 대 한

속성

기술 자료: 977519 - 마지막 검토: 2013년 10월 10일 목요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
키워드:?
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:977519

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com