本文介绍在 Windows 7 中,并在 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并且使用
安全审核的源记录。本文还介绍如何检索单个事件有关的更具说明性数据。
本部分列出了按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。
类别: 帐户登录
子类别: 凭据验证
收起该表格展开该表格
| ID | 消息 |
|---|
| 4774 | 帐户进行的登录映射。 |
| 4775 | 无法映射的登录帐户。 |
| 4776 | 计算机试图验证的帐户凭据。 |
| 4777 | 域控制器无法验证帐户的凭据。 |
子类别: Kerberos 身份验证服务
收起该表格展开该表格
| ID | 消息 |
|---|
| 4768 | Kerberos 身份验证票证 (TGT) 请求。 |
| 4771 | Kerberos 预身份验证失败。 |
| 4772 | Kerberos 身份验证票证请求失败。 |
子类别: Kerberos 服务票据操作
收起该表格展开该表格
| ID | 消息 |
|---|
| 4769 | Kerberos 服务票证请求。 |
| 4770 | Kerberos 服务票证续订。 |
| 4773 | Kerberos 服务票证请求失败。 |
类别: 帐户管理
子类别: 应用程序组管理
收起该表格展开该表格
| ID | 消息 |
|---|
| 4783 | 已创建基本应用程序组。 |
| 4784 | 基本应用程序组已更改。 |
| 4785 | 已将成员添加到基本应用程序组。 |
| 4786 | 成员已从基本应用程序组中删除。 |
| 4787 | 非成员已添加到基本应用程序组。 |
| 4788 | 非成员已从基本应用程序组中删除。 |
| 4789 | 基本应用程序组已被删除。 |
| 4790 | 已创建 LDAP 查询组。 |
| 4791 | 基本应用程序组已更改。 |
| 4792 | LDAP 查询组已被删除。 |
子类别: 计算机帐户管理
收起该表格展开该表格
| ID | 消息 |
|---|
| 4741 | 计算机帐户已创建。 |
| 4742 | 计算机帐户已更改。 |
| 4743 | 计算机帐户已被删除。 |
子类别: 通讯组管理
收起该表格展开该表格
| ID | 消息 |
|---|
| 4744 | 已创建禁用安全的本地组。 |
| 4745 | 禁用安全的本地组已更改。 |
| 4746 | 已将成员添加到禁用安全的本地组。 |
| 4747 | 成员已从禁用安全的本地组中删除。 |
| 4748 | 已删除禁用安全的本地组。 |
| 4749 | 已创建禁用安全的全局组。 |
| 4750 | 禁用安全的全局组已更改。 |
| 4751 | 成员已添加至禁用安全的全局组。 |
| 4752 | 成员已从禁用安全的全局组删除。 |
| 4753 | 已删除禁用安全的全局组。 |
| 4759 | 已创建禁用安全的通用组。 |
| 4760 | 禁用安全的通用组已更改。 |
| 4761 | 成员已添加至禁用安全的通用组。 |
| 4762 | 成员已从禁用安全的通用组删除。 |
子类别: 其他帐户管理事件
收起该表格展开该表格
| ID | 消息 |
|---|
| 4782 | 访问帐户的密码哈希值。 |
| 4793 | 密码策略检查 API 调用。 |
子类别: 安全组管理
收起该表格展开该表格
| ID | 消息 |
|---|
| 4727 | 启用安全的全局组已创建。 |
| 4728 | 成员已添加至已启用安全的全局组。 |
| 4729 | 成员已从启用安全的全局组删除。 |
| 4730 | 启用安全的全局组已删除。 |
| 4731 | 启用安全的本地组已创建。 |
| 4732 | 已将成员添加到已启用安全的本地组。 |
| 4733 | 成员已从启用安全的本地组中删除。 |
| 4734 | 启用安全的本地组已删除。 |
| 4735 | 启用安全的本地组已更改。 |
| 4737 | 启用安全的全局组已更改。 |
| 4754 | 启用安全的通用组已创建。 |
| 4755 | 启用安全的通用组已更改。 |
| 4756 | 成员已添加至已启用安全的通用组。 |
| 4757 | 成员已从启用安全的通用组删除。 |
| 4758 | 启用安全的通用组已删除。 |
| 4764 | 组的类型已更改。 |
子类别: 用户帐户管理
收起该表格展开该表格
| ID | 消息 |
|---|
| 4720 | 用户帐户已创建。 |
| 4722 | 用户帐户被启用。 |
| 4723 | 尝试更改帐户的密码。 |
| 4724 | 尝试重置帐户密码。 |
| 4725 | 已禁用的用户帐户。 |
| 4726 | 用户帐户已删除。 |
| 4738 | 用户帐户已更改。 |
| 4740 | 用户帐户被锁定的时间。 |
| 4765 | SID 历史记录中添加一个帐户了。 |
| 4766 | 要添加到帐户的 SID 历史记录的尝试失败。 |
| 4767 | 用户帐户被锁定。 |
| 4780 | 在管理员组成员的帐户上设置 ACL。 |
| 4781 | 帐户名称已更改: |
| 4794 | 尝试设置目录服务还原模式。 |
| 5376 | 凭据管理器凭据进行了备份。 |
| 5377 | 凭据管理器的凭据被从备份还原。 |
类别: 详细的跟踪
DPAPI 活动的子类别:
收起该表格展开该表格
| ID | 消息 |
|---|
| 4692 | 试图进行备份的数据保护主密钥。 |
| 4693 | 已尝试恢复数据保护主密钥。 |
| 4694 | 试图进行可审核的受保护数据的保护。 |
| 4695 | 试图执行的可审核的受保护数据的 unprotection。 |
子类别: 进程创建
收起该表格展开该表格
| ID | 消息 |
|---|
| 4688 | 已创建一个新的进程。 |
| 4696 | 一个主令牌分配处理。 |
子类别: 终止的进程
子类别: RPC 事件
收起该表格展开该表格
| ID | 消息 |
|---|
| 5712 | 尝试执行远程过程调用 (RPC)。 |
类别: DS 访问
子类别: 详细的目录服务复制
收起该表格展开该表格
| ID | 消息 |
|---|
| 4928 | 已建立一个 活动目录(AD) 复制副本源的命名上下文。 |
| 4929 | 已删除 活动目录(AD) 复制副本源的命名上下文。 |
| 4930 | 活动目录(AD) 复制副本源命名上下文已被修改。 |
| 4931 | 活动目录(AD) 复制副本目标命名上下文已被修改。 |
| 4934 | 活动目录(AD) 对象的属性将被复制。 |
| 4935 | 开始复制失败。 |
| 4936 | 结束复制失败。 |
| 4937 | 从复制副本中删除延迟对象。 |
子类别: 目录服务访问
子类别: 目录服务更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 5136 | 修改目录服务对象。 |
| 5137 | 创建目录服务对象。 |
| 5138 | 目录服务对象的删除。 |
| 5139 | 目录服务对象已移动。 |
| 5141 | 目录服务对象已被删除。 |
子类别: 目录服务复制
收起该表格展开该表格
| ID | 消息 |
|---|
| 4932 | 活动目录(AD) 命名上下文的副本的同步已开始。 |
| 4933 | 活动目录(AD) 命名上下文的副本的同步已结束。 |
类别: 登录/注销
子类别: IPsec 扩展模式
收起该表格展开该表格
| ID | 消息 |
|---|
| 4978 | 在扩展的模式协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。 |
| 4979 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4980 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4981 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4982 | 建立 IPsec 主模式与扩展的模式安全关联。 |
| 4983 | 扩展模式协商失败,IPsec。相应的主模式安全关联已被删除。 |
| 4984 | 扩展模式协商失败,IPsec。相应的主模式安全关联已被删除。 |
子类别: IPsec 主模式
收起该表格展开该表格
| ID | 消息 |
|---|
| 4646 | IKE 防止 DoS 模式下启动。 |
| 4650 | 已建立 IPsec 主模式安全关联。未启用扩展的模式。未使用证书身份验证。 |
| 4651 | 已建立 IPsec 主模式安全关联。未启用扩展的模式。证书用于身份验证。 |
| 4652 | 主模式协商失败,IPsec。 |
| 4653 | 主模式协商失败,IPsec。 |
| 4655 | IPsec 主模式安全关联已结束。 |
| 4976 | 在主模式协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。 |
| 5049 | 已删除 IPsec 安全关联。 |
| 5453 | IPsec 策略代理在计算机上应用了 活动目录(AD) IPsec 策略存储。 |
子类别: IPsec 快速模式
收起该表格展开该表格
| ID | 消息 |
|---|
| 4654 | 快速模式协商失败,IPsec。 |
| 4977 | 在快速模式协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。 |
| 5451 | 已建立 IPsec 快速模式安全关联。 |
| 5452 | IPsec 快速模式安全关联已结束。 |
子类别: 注销
收起该表格展开该表格
| ID | 消息 |
|---|
| 4634 | 帐户被注销。 |
| 4647 | 用户启动注销过程。 |
子类别: 登录
收起该表格展开该表格
| ID | 消息 |
|---|
| 4624 | 帐户已成功登录。 |
| 4625 | 帐户登录失败。 |
| 4648 | 试图使用显式凭据登录。 |
| 4675 | 已筛选的 Sid。 |
子类别: 网络策略服务器
收起该表格展开该表格
| ID | 消息 |
|---|
| 6272 | 网络策略服务器向用户授予访问权限。 |
| 6273 | 网络策略服务器的用户被拒绝访问。 |
| 6274 | 网络策略服务器放弃用户的请求。 |
| 6275 | 网络策略服务器丢弃记帐请求的用户。 |
| 6276 | 网络策略服务器隔离用户。 |
| 6277 | 网络策略服务器向用户授予访问权限,但将其放在试用,因为主机不符合已定义的运行状况策略。 |
| 6278 | 网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。 |
| 6279 | 网络策略服务器被锁定的用户帐户,由于重复的失败的验证尝试。 |
| 6280 | 网络策略服务器已解锁用户帐户。 |
子类别: 其他登录/注销事件
收起该表格展开该表格
| ID | 消息 |
|---|
| 4649 | 检测到的重播攻击。 |
| 4778 | 窗口站已重新连接会话。 |
| 4779 | 从窗口站,会话已断开连接。 |
| 4800 | 被锁定的工作站。 |
| 4801 | 工作站已解锁。 |
| 4802 | 屏幕保护程序被调用。 |
| 4803 | 已关闭屏幕保护程序。 |
| 5378 | 请求的凭据委派了由策略不允许。 |
| 5632 | 已请求对无线网络进行身份验证。 |
| 5633 | 已请求进行身份验证的有线网络。 |
子类别: 特殊的登录
收起该表格展开该表格
| ID | 消息 |
|---|
| 4964 | 特殊组已分配到一个新的登录帐户。 |
类别: 对象访问
子类别: 应用程序生成
收起该表格展开该表格
| ID | 消息 |
|---|
| 4665 | 尝试创建应用程序客户端上下文。 |
| 4666 | 应用程序试图执行的操作: |
| 4667 | 应用程序客户端上下文已被删除。 |
| 4668 | 应用程序已初始化。 |
子类别: 证书服务
收起该表格展开该表格
| ID | 消息 |
|---|
| 4868 | 证书管理器拒绝了挂起的证书申请。 |
| 4869 | 证书服务收到重新提交的证书申请。 |
| 4870 | 证书服务吊销了证书。 |
| 4871 | 证书服务收到发行证书吊销列表 (CRL) 的请求。 |
| 4872 | 证书服务发行了证书吊销列表 (CRL)。 |
| 4873 | 更改了证书申请扩展。 |
| 4874 | 一个或多个证书申请属性已更改。 |
| 4875 | 证书服务收到关闭请求。 |
| 4876 | 证书服务备份已启动。 |
| 4877 | 证书服务备份已完成。 |
| 4878 | 已开始证书服务还原。 |
| 4879 | 证书服务还原已完成。 |
| 4880 | 证书服务已启动。 |
| 4881 | 证书服务已停止。 |
| 4882 | 证书服务的安全权限已更改。 |
| 4883 | 证书服务检索到存档的密钥。 |
| 4884 | 证书服务将证书导入它的数据库。 |
| 4885 | 证书服务的审核筛选已更改。 |
| 4886 | 证书服务收到了一个证书申请。 |
| 4887 | 证书服务批准了证书申请并颁发了证书。 |
| 4888 | 证书服务拒绝证书申请。 |
| 4889 | 证书服务将证书申请的状态设置为挂起。 |
| 4890 | 证书服务的证书管理器设置已更改。 |
| 4891 | 在证书服务中更改一个配置项。 |
| 4892 | 证书服务的属性更改。 |
| 4893 | 证书服务存档了密钥。 |
| 4894 | 证书服务导入和存档了密钥。 |
| 4895 | 证书服务发布到 活动目录(AD) 域服务的 CA 证书。 |
| 4896 | 已从证书数据库删除一行或多行。 |
| 4897 | 启用角色分离: |
| 4898 | 证书服务加载模板。 |
| 4899 | 证书服务模板进行了更新。 |
| 4900 | 证书服务模板安全性进行了更新。 |
| 5120 | OCSP 响应程序服务已启动。 |
| 5121 | OCSP 响应程序服务已停止。 |
| 5122 | 更改的 OCSP 响应程序服务的配置项。 |
| 5123 | 更改的 OCSP 响应程序服务的配置项。 |
| 5124 | 安全设置已更新的 OCSP 响应程序服务。 |
| 5125 | 请求已提交到 OCSP 响应程序服务。 |
| 5126 | OCSP 响应程序服务已自动更新签名证书。 |
| 5127 | OCSP 吊销提供程序已成功更新的吊销信息。 |
子类别: 详细的文件共享
收起该表格展开该表格
| ID | 消息 |
|---|
| 5145 | 网络共享对象已检查以查看是否可以所需访问授予客户机。 |
子类别: 文件共享
收起该表格展开该表格
| ID | 消息 |
|---|
| 5140 | 访问网络共享对象。 |
| 5142 | 已添加网络共享对象。 |
| 5143 | 网络共享对象被修改。 |
| 5144 | 已删除网络共享对象。 |
| 5168 | SMB/SMB2 的 Spn 检查失败。 |
子类别: 文件系统
收起该表格展开该表格
| ID | 消息 |
|---|
| 4664 | 尝试创建硬链接。 |
| 4985 | 交易记录的状态已更改。 |
| 5051 | 文件的虚拟化。 |
子类别: 筛选平台连接
收起该表格展开该表格
| ID | 消息 |
|---|
| 5031 | Windows 防火墙服务阻止接受传入连接在网络上的应用程序。 |
| 5148 | Windows 筛选平台已检测到 DoS 攻击并进入防御性的模式 ;与此攻击相关的数据包将被丢弃。 |
| 5149 | DoS 攻击减少,正在继续正常处理。 |
| 5150 | Windows 筛选平台已阻止的数据包。 |
| 5151 | 更严格的筛选的 Windows 平台过滤器已阻止数据包。 |
| 5154 | 要在端口上侦听传入连接的应用程序或服务,已允许 Windows 筛选平台。 |
| 5155 | Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。 |
| 5156 | Windows 筛选平台允许一个连接。 |
| 5157 | Windows 筛选平台已阻止连接。 |
| 5158 | Windows 筛选平台已允许的绑定到本地端口。 |
| 5159 | Windows 筛选平台已阻止绑定到本地端口。 |
子类别: 筛选平台数据包丢弃
收起该表格展开该表格
| ID | 消息 |
|---|
| 5152 | Windows 筛选平台已阻止的数据包。 |
| 5153 | 更严格的筛选的 Windows 平台过滤器已阻止数据包。 |
子类别: 句柄操作
收起该表格展开该表格
| ID | 消息 |
|---|
| 4656 | 请求的对象的句柄。 |
| 4658 | 已关闭的对象句柄。 |
| 4690 | 尝试复制对象的句柄。 |
子类别: 其他对象访问事件
收起该表格展开该表格
| ID | 消息 |
|---|
| 4671 | 应用程序试图访问被阻止的序号,通过进行 tbs。 |
| 4691 | 请求的对象的间接访问。 |
| 4698 | 已创建计划的任务。 |
| 4699 | 计划的任务已被删除。 |
| 4700 | 计划的任务已启用。 |
| 4701 | 已禁用计划的任务。 |
| 4702 | 已更新的计划的任务。 |
| 4702 | 已更新的计划的任务。 |
| 5888 | 在 COM + 目录中的对象将被修改。 |
| 5889 | 从 COM + 目录中删除对象。 |
| 5890 | 对象已添加到 COM + 目录中。 |
子类别: 注册表
收起该表格展开该表格
| ID | 消息 |
|---|
| 4657 | 已修改的注册表值。 |
| 5039 | 注册表项被虚拟化。 |
特殊用途的子类别的子类别:
注意由任何资源管理器可能会生成下面的事件,及其子类别启用时。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。
对象访问: 内核对象和
对象访问: SAM子类别的子类别,以独占方式使用这些事件的示例。
收起该表格展开该表格
| ID | 消息 |
|---|
| 4659 | 与意向要删除请求的对象的句柄。 |
| 4660 | 对象已被删除。 |
| 4661 | 请求的对象的句柄。 |
| 4663 | 试图访问的对象。 |
类别: 策略更改
子类别: 审核策略更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 4715 | 已更改对象上的审核策略 (SACL)。 |
| 4719 | 系统审核策略已更改。 |
| 4817 | 在对象上的审核设置已更改。 |
| 4902 | 每用户审核策略表已创建。 |
| 4904 | 尝试注册安全事件源。 |
| 4905 | 尝试取消安全事件源注册。 |
| 4906 | 在禁用值已更改。 |
| 4907 | 已更改对象上的审核设置。 |
| 4908 | 修改特殊的组登录表。 |
| 4912 | 每个用户审核策略已更改。 |
子类别: 身份验证策略更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 4706 | 向域创建新的信任。 |
| 4707 | 已删除对一个域的信任。 |
| .4713 | Kerberos 策略已更改。 |
| 4716 | 已修改受信任的域的信息。 |
| 4717 | 系统安全访问权限授予帐户权限。 |
| 4718 | 已删除帐户的系统的安全访问权。 |
| 4739 | 域策略已更改。 |
| 4864 | 检测到的命名空间冲突。 |
| 4865 | 已添加受信任的林信息项。 |
| 4866 | 已删除受信任的林信息项。 |
| 4867 | 已修改受信任的林信息项。 |
子类别: 授权策略的更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 4704 | 已指派的用户权利。 |
| 4705 | 已删除了用户权限。 |
| 4714 | 已更改的数据恢复代理程序组策略的加密文件系统 (EFS)。已应用新的更改。 |
子类别: 筛选平台策略更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 4709 | IPsec 策略代理服务已启动。 |
| 4710 | 已禁用 IPsec 策略代理服务。 |
| 4711 | 可能包含下列之一: - PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
- PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
- PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
- PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
- PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
- PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
- PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。
- PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
- PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
- PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
- PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
- PAStore 引擎轮询的活动 IPsec 策略的更改,并检测到任何更改。
|
| 4712 | IPsec 策略代理遇到潜在的严重问题。 |
| 5040 | IPsec 设置已更改。已添加身份验证集。 |
| 5041 | IPsec 设置已更改。身份验证集进行了修改。 |
| 5042 | IPsec 设置已更改。身份验证设置已被删除。 |
| 5043 | IPsec 设置已更改。已添加的连接安全规则。 |
| 5044 | IPsec 设置已更改。连接安全规则进行了修改。 |
| 5045 | IPsec 设置已更改。已删除的连接安全规则。 |
| 5046 | IPsec 设置已更改。已添加加密设置。 |
| 5047 | IPsec 设置已更改。加密设置进行了修改。 |
| 5048 | IPsec 设置已更改。加密设置已被删除。 |
| 5440 | 下面标注时在 Windows 筛选平台基本筛选引擎启动时才可用。 |
| 5441 | 下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。 |
| 5442 | 下列提供程序是在 Windows 筛选平台基本筛选引擎启动时才可用。 |
| 5443 | 下列提供程序上下文时在 Windows 筛选平台基本筛选引擎启动时才可用。 |
| 5444 | 下面的 sub-layer 是在 Windows 筛选平台基本筛选引擎启动时才可用。 |
| 5446 | 筛选的 Windows 平台标注已被更改。 |
| 5448 | 已筛选的 Windows 平台提供商。 |
| 5449 | 筛选的 Windows 平台提供程序上下文已被更改。 |
| 5450 | 筛选的 Windows 平台 sub-layer 已被更改。 |
| 5456 | PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。 |
| 5457 | IPsec 策略代理在计算机上应用 IPsec 策略的 活动目录(AD) 存储失败。 |
| 5458 | 在本地应用的 IPsec 策略代理缓存中的活动目录存储在计算机上的 IPsec 策略的副本。 |
| 5459 | IPsec 策略代理无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。 |
| 5460 | IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储。 |
| 5461 | IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储失败。 |
| 5462 | IPsec 策略代理无法应用在计算机上的活动 IPsec 策略的某些规则。IP 安全监视器管理单元中使用,用来诊断问题。 |
| 5463 | IPsec 策略代理轮询的活动 IPsec 策略的更改,并且检测到任何更改。 |
| 5464 | IPsec 策略代理轮询的活动 IPsec 策略的更改,检测到更改,应用它们。 |
| 5465 | IPsec 策略代理收到用于 IPsec 策略的强制重新加载的控件,并已成功处理该控件。 |
| 5466 | IPsec 策略代理轮询到活动目录 IPsec 策略中,已确定 活动目录(AD) 无法访问,并将改为使用缓存的副本的目录的活动 IPsec 策略的更改。自上次轮询不会应用对活动目录 IPsec 策略所做的任何更改。 |
| 5467 | IPsec 策略代理轮询更改到活动目录 IPsec 策略中,已确定可以达到,并找到该策略没有更改 活动目录(AD) 中。不再使用的活动目录 IPsec 策略缓存的副本。 |
| 5468 | IPsec 策略代理轮询更改到目录的活动 IPsec 策略中,已确定 活动目录(AD) 可以达到,找到到策略中,更改并应用这些更改。不再使用的活动目录 IPsec 策略缓存的副本。 |
| 5471 | 加载本地存储在计算机上的 IPsec 策略中 IPsec 策略代理。 |
| 5472 | IPsec 策略代理无法加载本地存储在计算机上的 IPsec 策略。 |
| 5473 | 加载目录存储在计算机上的 IPsec 策略中 IPsec 策略代理。 |
| 5474 | IPsec 策略代理无法加载目录存储在计算机上的 IPsec 策略。 |
| 5477 | IPsec 策略代理无法添加快速模式筛选器。 |
子类别: mpssvc 规则级别的策略更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 4944 | 当启动 Windows 防火墙时,以下策略处于活动状态。 |
| 4945 | 开始 Windows 防火墙时,已列出规则。 |
| 4946 | Windows 防火墙例外列表已更改。已添加一个规则。 |
| 4947 | Windows 防火墙例外列表已更改。规则进行了修改。 |
| 4948 | Windows 防火墙例外列表已更改。规则已被删除。 |
| 4949 | Windows 防火墙设置还原为默认值。 |
| 4950 | 更改 Windows 防火墙设置。 |
| 4951 | 无法识别其主要版本数,因此,Windows 防火墙将忽略规则。 |
| 4952 | 无法识别其版本号,因此,Windows 防火墙被忽略部分的规则。将执行该规则的其他部分。 |
| 4953 | 由于无法分析,Windows 防火墙将忽略规则。 |
| 4954 | Windows 防火墙组策略设置已更改,并且未应用新设置。 |
| 4956 | Windows 防火墙更改活动配置文件。 |
| 4957 | Windows 防火墙未应用下面的规则: |
| 4958 | 因为规则引用的项目未在此计算机上配置 Windows 防火墙未应用下面的规则: |
| 5050 | 尝试以编程方式禁用 Windows 防火墙使用 INetFwProfile.FirewallEnabled(FALSE) 接口的调用被拒绝,因为此 API 不支持此版本的 Windows 上。这是很可能是因为与此版本的 Windows 不兼容的程序。请联系该程序的制造商联系,以确保您具有兼容的程序版本。 |
子类别: 其他策略更改事件
收起该表格展开该表格
| ID | 消息 |
|---|
| 4909 | TBS 的本地策略设置已更改。 |
| 4910 | TBS 的组策略设置已更改。 |
| 5063 | 试图加密提供程序操作。 |
| 5064 | 试图加密上下文操作。 |
| 5065 | 尝试加密上下文修改了。 |
| 5066 | 试图加密函数操作。 |
| 5067 | 试图执行加密函数修改。 |
| 5068 | 试图加密函数提供程序操作。 |
| 5069 | 试图加密函数属性操作。 |
| 5070 | 试图执行加密函数属性修改。 |
| 5447 | 筛选的 Windows 平台筛选器已更改。 |
| 6144 | 已成功应用的组策略对象中的安全策略。 |
| 6145 | 处理组策略对象中的安全策略时,出现了一个或多个错误。 |
特殊用途的子类别的子类别:
注意由任何资源管理器可能会生成下面的事件,及其子类别启用时。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。
类别: 特权使用
子类别: 敏感权限使用 / 非敏感权限使用
收起该表格展开该表格
| ID | 消息 |
|---|
| 4672 | 分配给新的登录特权。 |
| 4673 | 调用特权的服务了。 |
| 4674 | 试图在特权对象上执行操作。 |
类别: 系统
子类别: IPsec 驱动程序
收起该表格展开该表格
| ID | 消息 |
|---|
| 4960 | IPsec 丢弃入站的数据包的完整性检查失败。如果此问题仍然存在,它可能表示网络问题或该数据包会传输到这台计算机中被修改。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现的互操作性问题。 |
| 4961 | IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在,它可能表明针对此计算机的重播攻击。 |
| 4962 | IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号,以确保它不是重。 |
| 4963 | IPsec 丢弃应该保护的入站的明文数据包。如果将远程计算机配置与请求出站 IPsec 策略,这可能是良性和预期。这也可能致其 IPsec 策略更改而不通知该计算机的远程计算机。这也可能是欺骗的攻击企图。 |
| 4965 | IPsec 从远程计算机使用不正确的安全参数索引 (SPI) 接收到数据包。这通常是由已损坏的数据包的故障硬件引起的。如果这些错误仍然存在,请验证来自远程计算机所发送的数据包是否接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现的互操作性问题。在这种情况下,如果不被阻碍的连接,然后这些事件可以被忽略。 |
| 5478 | IPsec 策略代理服务已启动。 |
| 5479 | IPsec 服务已成功关闭。IPsec 服务关闭,可以将网络攻击的风险更高的计算机或将计算机暴露给潜在的安全风险。 |
| 5480 | IPsec 策略代理无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。 |
| 5483 | IPsec 策略代理服务未能初始化它的 RPC 服务器。无法启动该服务。 |
| 5484 | IPsec 策略代理服务遇到严重错误,已关闭。关闭此服务,可以使网络攻击的风险更高的计算机或将计算机暴露给潜在的安全风险。 |
| 5485 | IPsec 策略代理无法处理网络接口上的即插即用播放事件一些 IPsec 筛选器。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。 |
子类别: 其他系统事件
收起该表格展开该表格
| ID | 消息 |
|---|
| 5024 | Windows 防火墙服务已成功启动。 |
| 5025 | Windows 防火墙服务已停止。 |
| 5027 | Windows 防火墙服务无法从本地存储区中检索的安全策略。Windows 防火墙将继续执行当前的策略。 |
| 5028 | Windows 防火墙无法分析新的安全策略。Windows 防火墙将继续执行当前的策略。 |
| 5029 | Windows 防火墙服务无法初始化该驱动程序。Windows 防火墙将继续执行当前的策略。 |
| 5030 | Windows 防火墙服务无法启动。 |
| 5032 | Windows 防火墙不能通知用户它阻止接受传入连接在网络上的应用程序。 |
| 5033 | Windows 防火墙驱动程序已成功启动。 |
| 5034 | Windows 防火墙驱动程序已停止。 |
| 5035 | Windows 防火墙驱动程序启动失败。 |
| 5037 | Windows 防火墙驱动程序检测到一个关键的运行时错误,正在终止。 |
| 5058 | 密钥文件操作。 |
| 5059 | 关键的迁移操作。 |
| 6400 | 同时还发现内容的可用性,分支缓存: 收到格式不正确的响应。 |
| 6401 | 分支缓存: 从对等方接收到无效的数据。数据丢失。 |
| 6403 | 分支缓存: 托管的缓存发送格式不正确的响应客户端。 |
| 6404 | 分支缓存: 托管的缓存无法验证使用资源调配的 SSL 证书。 |
| 6405 | 分支缓存: %2 的事件 id 为 %1 的实例发生。 |
| 6406 | 向 Windows 防火墙注册到控件下面的筛选的 %1: %2 |
| 6407 | 1 % |
子类别: 安全状态更改
收起该表格展开该表格
| ID | 消息 |
|---|
| 4608 | Windows 正在启动。 |
| 4616 | 更改系统时间。 |
| 4621 | 管理员在禁用从恢复系统。现在允许用户不是管理员的登录。某些可审核的活动可能无法录制。 |
子类别: 安全系统扩展
收起该表格展开该表格
| ID | 消息 |
|---|
| 4610 | 已由本地安全机构加载身份验证程序包。 |
| 4611 | 受信任的登录进程已被本地安全机构注册。 |
| 4614 | 安全帐户管理器已加载通知程序包。 |
| 4622 | 安全程序包已由本地安全机构加载。 |
| 4697 | 在系统中已安装的服务。 |
子类别: 系统完整性
收起该表格展开该表格
| ID | 消息 |
|---|
| 4612 | 进行审核消息进行排队而分配的内部资源已用尽,从而会导致丢失的一些审核。 |
| 4615 | LPC 端口的无效使用。 |
| 4618 | 监视的安全事件模式出现。 |
| 4816 | RPC 检测到存在完整性冲突,同时对传入消息进行解密。 |
| 5038 | 代码完整性确定映像散列的文件无效。该文件可能被破坏,由于未经授权的修改或无效的哈希可能表明存在潜在的磁盘设备错误。 |
| 5056 | 执行加密的自我测试。 |
| 5057 | 加密基元操作失败。 |
| 5060 | 验证操作失败。 |
| 5061 | 加密操作。 |
| 5062 | 内核模式加密自检未执行。 |
| 6281 | 代码完整性取决于图像文件的页面哈希值是无效的。该文件可能是未正确签名而无需页面哈希或损坏原因是未经授权的修改。无效的哈希值可能表明存在潜在的磁盘设备错误 |
备注
有关 Wevtutil 实用程序的详细信息,请访问下面的 Microsoft Web 站点:
有关 Auditpol 实用程序的详细信息,请访问下面的 Microsoft Web 站点:
有关高级 Windows 7 和 Windows Server 2008 R2 中的安全审核策略设置的详细信息,请访问下面的 Microsoft Web 站点:
有关在 Windows Vista 和 Windows Server 2008 中的安全审核的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
947226
(http://support.microsoft.com/kb/947226/
)
在 Windows Vista 和 Windows Server 2008 中的安全事件的说明
文章编号: 977519 - 最后修改: 2013年5月20日 - 修订: 3.0
这篇文章中的信息适用于:
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Windows 7 Enterprise
- Windows 7 Professional
- Windows 7 Ultimate
- Windows Server 2008 R2 Service Pack 1
| kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtzh |
机器翻译重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版:
977519
(http://support.microsoft.com/kb/977519/en-us/
)
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端
