在 Windows 7 中,并在 Windows Server 2008 R2 中的安全事件的说明

文章翻译 文章翻译
文章编号: 977519 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

本文介绍在 Windows 7 中,并在 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并且使用安全审核的源记录。本文还介绍如何检索单个事件有关的更具说明性数据。

更多信息

本部分列出了按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。

类别: 帐户登录

子类别: 凭据验证

收起该表格展开该表格
ID 消息
4774帐户进行的登录映射。
4775无法映射的登录帐户。
4776计算机试图验证的帐户凭据。
4777域控制器无法验证帐户的凭据。

子类别: Kerberos 身份验证服务

收起该表格展开该表格
ID 消息
4768Kerberos 身份验证票证 (TGT) 请求。
4771Kerberos 预身份验证失败。
4772Kerberos 身份验证票证请求失败。

子类别: Kerberos 服务票据操作

收起该表格展开该表格
ID 消息
4769Kerberos 服务票证请求。
4770Kerberos 服务票证续订。
4773Kerberos 服务票证请求失败。

类别: 帐户管理

子类别: 应用程序组管理

收起该表格展开该表格
ID 消息
4783已创建基本应用程序组。
4784基本应用程序组已更改。
4785已将成员添加到基本应用程序组。
4786成员已从基本应用程序组中删除。
4787非成员已添加到基本应用程序组。
4788非成员已从基本应用程序组中删除。
4789基本应用程序组已被删除。
4790已创建 LDAP 查询组。
4791基本应用程序组已更改。
4792LDAP 查询组已被删除。

子类别: 计算机帐户管理

收起该表格展开该表格
ID 消息
4741计算机帐户已创建。
4742计算机帐户已更改。
4743计算机帐户已被删除。

子类别: 通讯组管理

收起该表格展开该表格
ID 消息
4744已创建禁用安全的本地组。
4745禁用安全的本地组已更改。
4746已将成员添加到禁用安全的本地组。
4747成员已从禁用安全的本地组中删除。
4748已删除禁用安全的本地组。
4749已创建禁用安全的全局组。
4750禁用安全的全局组已更改。
4751成员已添加至禁用安全的全局组。
4752成员已从禁用安全的全局组删除。
4753已删除禁用安全的全局组。
4759已创建禁用安全的通用组。
4760禁用安全的通用组已更改。
4761成员已添加至禁用安全的通用组。
4762成员已从禁用安全的通用组删除。

子类别: 其他帐户管理事件

收起该表格展开该表格
ID 消息
4782访问帐户的密码哈希值。
4793密码策略检查 API 调用。

子类别: 安全组管理

收起该表格展开该表格
ID 消息
4727启用安全的全局组已创建。
4728成员已添加至已启用安全的全局组。
4729成员已从启用安全的全局组删除。
4730启用安全的全局组已删除。
4731启用安全的本地组已创建。
4732已将成员添加到已启用安全的本地组。
4733成员已从启用安全的本地组中删除。
4734启用安全的本地组已删除。
4735启用安全的本地组已更改。
4737启用安全的全局组已更改。
4754启用安全的通用组已创建。
4755启用安全的通用组已更改。
4756成员已添加至已启用安全的通用组。
4757成员已从启用安全的通用组删除。
4758启用安全的通用组已删除。
4764组的类型已更改。

子类别: 用户帐户管理

收起该表格展开该表格
ID 消息
4720用户帐户已创建。
4722用户帐户被启用。
4723尝试更改帐户的密码。
4724尝试重置帐户密码。
4725已禁用的用户帐户。
4726用户帐户已删除。
4738用户帐户已更改。
4740用户帐户被锁定的时间。
4765SID 历史记录中添加一个帐户了。
4766要添加到帐户的 SID 历史记录的尝试失败。
4767用户帐户被锁定。
4780在管理员组成员的帐户上设置 ACL。
4781帐户名称已更改:
4794尝试设置目录服务还原模式。
5376凭据管理器凭据进行了备份。
5377凭据管理器的凭据被从备份还原。

类别: 详细的跟踪

DPAPI 活动的子类别:

收起该表格展开该表格
ID 消息
4692试图进行备份的数据保护主密钥。
4693已尝试恢复数据保护主密钥。
4694试图进行可审核的受保护数据的保护。
4695试图执行的可审核的受保护数据的 unprotection。

子类别: 进程创建

收起该表格展开该表格
ID 消息
4688已创建一个新的进程。
4696一个主令牌分配处理。

子类别: 终止的进程

收起该表格展开该表格
ID 消息
4689进程已退出。

子类别: RPC 事件

收起该表格展开该表格
ID 消息
5712 尝试执行远程过程调用 (RPC)。

类别: DS 访问

子类别: 详细的目录服务复制

收起该表格展开该表格
ID 消息
4928已建立一个 活动目录(AD) 复制副本源的命名上下文。
4929已删除 活动目录(AD) 复制副本源的命名上下文。
4930活动目录(AD) 复制副本源命名上下文已被修改。
4931活动目录(AD) 复制副本目标命名上下文已被修改。
4934活动目录(AD) 对象的属性将被复制。
4935开始复制失败。
4936结束复制失败。
4937从复制副本中删除延迟对象。

子类别: 目录服务访问

收起该表格展开该表格
ID 消息
4662 在对象上执行操作。

子类别: 目录服务更改

收起该表格展开该表格
ID 消息
5136修改目录服务对象。
5137创建目录服务对象。
5138目录服务对象的删除。
5139目录服务对象已移动。
5141 目录服务对象已被删除。

子类别: 目录服务复制

收起该表格展开该表格
ID 消息
4932活动目录(AD) 命名上下文的副本的同步已开始。
4933活动目录(AD) 命名上下文的副本的同步已结束。

类别: 登录/注销

子类别: IPsec 扩展模式

收起该表格展开该表格
ID 消息
4978在扩展的模式协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
4979建立 IPsec 主模式与扩展的模式安全关联。
4980建立 IPsec 主模式与扩展的模式安全关联。
4981建立 IPsec 主模式与扩展的模式安全关联。
4982建立 IPsec 主模式与扩展的模式安全关联。
4983扩展模式协商失败,IPsec。相应的主模式安全关联已被删除。
4984扩展模式协商失败,IPsec。相应的主模式安全关联已被删除。

子类别: IPsec 主模式

收起该表格展开该表格
ID 消息
4646IKE 防止 DoS 模式下启动。
4650已建立 IPsec 主模式安全关联。未启用扩展的模式。未使用证书身份验证。
4651已建立 IPsec 主模式安全关联。未启用扩展的模式。证书用于身份验证。
4652主模式协商失败,IPsec。
4653主模式协商失败,IPsec。
4655IPsec 主模式安全关联已结束。
4976在主模式协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5049已删除 IPsec 安全关联。
5453IPsec 策略代理在计算机上应用了 活动目录(AD) IPsec 策略存储。

子类别: IPsec 快速模式

收起该表格展开该表格
ID 消息
4654快速模式协商失败,IPsec。
4977在快速模式协商期间,IPsec 接收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5451已建立 IPsec 快速模式安全关联。
5452IPsec 快速模式安全关联已结束。

子类别: 注销

收起该表格展开该表格
ID 消息
4634 帐户被注销。
4647 用户启动注销过程。

子类别: 登录

收起该表格展开该表格
ID 消息
4624帐户已成功登录。
4625帐户登录失败。
4648试图使用显式凭据登录。
4675已筛选的 Sid。

子类别: 网络策略服务器

收起该表格展开该表格
ID 消息
6272网络策略服务器向用户授予访问权限。
6273网络策略服务器的用户被拒绝访问。
6274网络策略服务器放弃用户的请求。
6275网络策略服务器丢弃记帐请求的用户。
6276网络策略服务器隔离用户。
6277网络策略服务器向用户授予访问权限,但将其放在试用,因为主机不符合已定义的运行状况策略。
6278网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。
6279网络策略服务器被锁定的用户帐户,由于重复的失败的验证尝试。
6280网络策略服务器已解锁用户帐户。

子类别: 其他登录/注销事件

收起该表格展开该表格
ID 消息
4649检测到的重播攻击。
4778窗口站已重新连接会话。
4779从窗口站,会话已断开连接。
4800被锁定的工作站。
4801工作站已解锁。
4802屏幕保护程序被调用。
4803已关闭屏幕保护程序。
5378请求的凭据委派了由策略不允许。
5632已请求对无线网络进行身份验证。
5633已请求进行身份验证的有线网络。

子类别: 特殊的登录

收起该表格展开该表格
ID 消息
4964 特殊组已分配到一个新的登录帐户。

类别: 对象访问

子类别: 应用程序生成

收起该表格展开该表格
ID 消息
4665尝试创建应用程序客户端上下文。
4666应用程序试图执行的操作:
4667应用程序客户端上下文已被删除。
4668应用程序已初始化。

子类别: 证书服务

收起该表格展开该表格
ID 消息
4868证书管理器拒绝了挂起的证书申请。
4869证书服务收到重新提交的证书申请。
4870证书服务吊销了证书。
4871证书服务收到发行证书吊销列表 (CRL) 的请求。
4872证书服务发行了证书吊销列表 (CRL)。
4873更改了证书申请扩展。
4874一个或多个证书申请属性已更改。
4875证书服务收到关闭请求。
4876证书服务备份已启动。
4877证书服务备份已完成。
4878已开始证书服务还原。
4879证书服务还原已完成。
4880证书服务已启动。
4881证书服务已停止。
4882证书服务的安全权限已更改。
4883证书服务检索到存档的密钥。
4884证书服务将证书导入它的数据库。
4885证书服务的审核筛选已更改。
4886证书服务收到了一个证书申请。
4887证书服务批准了证书申请并颁发了证书。
4888证书服务拒绝证书申请。
4889证书服务将证书申请的状态设置为挂起。
4890证书服务的证书管理器设置已更改。
4891在证书服务中更改一个配置项。
4892证书服务的属性更改。
4893证书服务存档了密钥。
4894证书服务导入和存档了密钥。
4895证书服务发布到 活动目录(AD) 域服务的 CA 证书。
4896已从证书数据库删除一行或多行。
4897启用角色分离:
4898证书服务加载模板。
4899证书服务模板进行了更新。
4900证书服务模板安全性进行了更新。
5120OCSP 响应程序服务已启动。
5121OCSP 响应程序服务已停止。
5122更改的 OCSP 响应程序服务的配置项。
5123更改的 OCSP 响应程序服务的配置项。
5124安全设置已更新的 OCSP 响应程序服务。
5125请求已提交到 OCSP 响应程序服务。
5126OCSP 响应程序服务已自动更新签名证书。
5127OCSP 吊销提供程序已成功更新的吊销信息。

子类别: 详细的文件共享

收起该表格展开该表格
ID 消息
5145 网络共享对象已检查以查看是否可以所需访问授予客户机。

子类别: 文件共享

收起该表格展开该表格
ID 消息
5140访问网络共享对象。
5142已添加网络共享对象。
5143网络共享对象被修改。
5144已删除网络共享对象。
5168SMB/SMB2 的 Spn 检查失败。

子类别: 文件系统

收起该表格展开该表格
ID 消息
4664尝试创建硬链接。
4985交易记录的状态已更改。
5051文件的虚拟化。

子类别: 筛选平台连接

收起该表格展开该表格
ID 消息
5031Windows 防火墙服务阻止接受传入连接在网络上的应用程序。
5148Windows 筛选平台已检测到 DoS 攻击并进入防御性的模式 ;与此攻击相关的数据包将被丢弃。
5149DoS 攻击减少,正在继续正常处理。
5150Windows 筛选平台已阻止的数据包。
5151更严格的筛选的 Windows 平台过滤器已阻止数据包。
5154要在端口上侦听传入连接的应用程序或服务,已允许 Windows 筛选平台。
5155Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。
5156Windows 筛选平台允许一个连接。
5157Windows 筛选平台已阻止连接。
5158Windows 筛选平台已允许的绑定到本地端口。
5159Windows 筛选平台已阻止绑定到本地端口。

子类别: 筛选平台数据包丢弃

收起该表格展开该表格
ID 消息
5152 Windows 筛选平台已阻止的数据包。
5153 更严格的筛选的 Windows 平台过滤器已阻止数据包。

子类别: 句柄操作

收起该表格展开该表格
ID 消息
4656请求的对象的句柄。
4658已关闭的对象句柄。
4690尝试复制对象的句柄。

子类别: 其他对象访问事件

收起该表格展开该表格
ID 消息
4671应用程序试图访问被阻止的序号,通过进行 tbs。
4691请求的对象的间接访问。
4698已创建计划的任务。
4699计划的任务已被删除。
4700计划的任务已启用。
4701已禁用计划的任务。
4702已更新的计划的任务。
4702已更新的计划的任务。
5888在 COM + 目录中的对象将被修改。
5889从 COM + 目录中删除对象。
5890对象已添加到 COM + 目录中。

子类别: 注册表

收起该表格展开该表格
ID 消息
4657 已修改的注册表值。
5039 注册表项被虚拟化。

特殊用途的子类别的子类别:

注意由任何资源管理器可能会生成下面的事件,及其子类别启用时。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。对象访问: 内核对象对象访问: SAM子类别的子类别,以独占方式使用这些事件的示例。
收起该表格展开该表格
ID 消息
4659与意向要删除请求的对象的句柄。
4660对象已被删除。
4661请求的对象的句柄。
4663试图访问的对象。

类别: 策略更改

子类别: 审核策略更改

收起该表格展开该表格
ID 消息
4715已更改对象上的审核策略 (SACL)。
4719系统审核策略已更改。
4817在对象上的审核设置已更改。
4902每用户审核策略表已创建。
4904尝试注册安全事件源。
4905尝试取消安全事件源注册。
4906在禁用值已更改。
4907已更改对象上的审核设置。
4908修改特殊的组登录表。
4912每个用户审核策略已更改。

子类别: 身份验证策略更改

收起该表格展开该表格
ID 消息
4706向域创建新的信任。
4707已删除对一个域的信任。
.4713Kerberos 策略已更改。
4716已修改受信任的域的信息。
4717系统安全访问权限授予帐户权限。
4718已删除帐户的系统的安全访问权。
4739域策略已更改。
4864检测到的命名空间冲突。
4865已添加受信任的林信息项。
4866已删除受信任的林信息项。
4867已修改受信任的林信息项。

子类别: 授权策略的更改

收起该表格展开该表格
ID 消息
4704已指派的用户权利。
4705已删除了用户权限。
4714已更改的数据恢复代理程序组策略的加密文件系统 (EFS)。已应用新的更改。

子类别: 筛选平台策略更改

收起该表格展开该表格
ID 消息
4709IPsec 策略代理服务已启动。
4710已禁用 IPsec 策略代理服务。
4711可能包含下列之一:
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。
  • PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎轮询的活动 IPsec 策略的更改,并检测到任何更改。
4712IPsec 策略代理遇到潜在的严重问题。
5040IPsec 设置已更改。已添加身份验证集。
5041IPsec 设置已更改。身份验证集进行了修改。
5042IPsec 设置已更改。身份验证设置已被删除。
5043IPsec 设置已更改。已添加的连接安全规则。
5044IPsec 设置已更改。连接安全规则进行了修改。
5045IPsec 设置已更改。已删除的连接安全规则。
5046IPsec 设置已更改。已添加加密设置。
5047IPsec 设置已更改。加密设置进行了修改。
5048IPsec 设置已更改。加密设置已被删除。
5440下面标注时在 Windows 筛选平台基本筛选引擎启动时才可用。
5441下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。
5442下列提供程序是在 Windows 筛选平台基本筛选引擎启动时才可用。
5443下列提供程序上下文时在 Windows 筛选平台基本筛选引擎启动时才可用。
5444下面的 sub-layer 是在 Windows 筛选平台基本筛选引擎启动时才可用。
5446筛选的 Windows 平台标注已被更改。
5448已筛选的 Windows 平台提供商。
5449筛选的 Windows 平台提供程序上下文已被更改。
5450筛选的 Windows 平台 sub-layer 已被更改。
5456PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
5457IPsec 策略代理在计算机上应用 IPsec 策略的 活动目录(AD) 存储失败。
5458在本地应用的 IPsec 策略代理缓存中的活动目录存储在计算机上的 IPsec 策略的副本。
5459IPsec 策略代理无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
5460IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储。
5461IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储失败。
5462IPsec 策略代理无法应用在计算机上的活动 IPsec 策略的某些规则。IP 安全监视器管理单元中使用,用来诊断问题。
5463IPsec 策略代理轮询的活动 IPsec 策略的更改,并且检测到任何更改。
5464IPsec 策略代理轮询的活动 IPsec 策略的更改,检测到更改,应用它们。
5465IPsec 策略代理收到用于 IPsec 策略的强制重新加载的控件,并已成功处理该控件。
5466IPsec 策略代理轮询到活动目录 IPsec 策略中,已确定 活动目录(AD) 无法访问,并将改为使用缓存的副本的目录的活动 IPsec 策略的更改。自上次轮询不会应用对活动目录 IPsec 策略所做的任何更改。
5467IPsec 策略代理轮询更改到活动目录 IPsec 策略中,已确定可以达到,并找到该策略没有更改 活动目录(AD) 中。不再使用的活动目录 IPsec 策略缓存的副本。
5468IPsec 策略代理轮询更改到目录的活动 IPsec 策略中,已确定 活动目录(AD) 可以达到,找到到策略中,更改并应用这些更改。不再使用的活动目录 IPsec 策略缓存的副本。
5471加载本地存储在计算机上的 IPsec 策略中 IPsec 策略代理。
5472IPsec 策略代理无法加载本地存储在计算机上的 IPsec 策略。
5473加载目录存储在计算机上的 IPsec 策略中 IPsec 策略代理。
5474IPsec 策略代理无法加载目录存储在计算机上的 IPsec 策略。
5477IPsec 策略代理无法添加快速模式筛选器。

子类别: mpssvc 规则级别的策略更改

收起该表格展开该表格
ID 消息
4944当启动 Windows 防火墙时,以下策略处于活动状态。
4945开始 Windows 防火墙时,已列出规则。
4946Windows 防火墙例外列表已更改。已添加一个规则。
4947Windows 防火墙例外列表已更改。规则进行了修改。
4948Windows 防火墙例外列表已更改。规则已被删除。
4949Windows 防火墙设置还原为默认值。
4950更改 Windows 防火墙设置。
4951无法识别其主要版本数,因此,Windows 防火墙将忽略规则。
4952无法识别其版本号,因此,Windows 防火墙被忽略部分的规则。将执行该规则的其他部分。
4953由于无法分析,Windows 防火墙将忽略规则。
4954Windows 防火墙组策略设置已更改,并且未应用新设置。
4956Windows 防火墙更改活动配置文件。
4957Windows 防火墙未应用下面的规则:
4958因为规则引用的项目未在此计算机上配置 Windows 防火墙未应用下面的规则:
5050尝试以编程方式禁用 Windows 防火墙使用 INetFwProfile.FirewallEnabled(FALSE) 接口的调用被拒绝,因为此 API 不支持此版本的 Windows 上。这是很可能是因为与此版本的 Windows 不兼容的程序。请联系该程序的制造商联系,以确保您具有兼容的程序版本。

子类别: 其他策略更改事件

收起该表格展开该表格
ID 消息
4909TBS 的本地策略设置已更改。
4910TBS 的组策略设置已更改。
5063试图加密提供程序操作。
5064试图加密上下文操作。
5065尝试加密上下文修改了。
5066试图加密函数操作。
5067试图执行加密函数修改。
5068试图加密函数提供程序操作。
5069试图加密函数属性操作。
5070试图执行加密函数属性修改。
5447筛选的 Windows 平台筛选器已更改。
6144已成功应用的组策略对象中的安全策略。
6145处理组策略对象中的安全策略时,出现了一个或多个错误。

特殊用途的子类别的子类别:

注意由任何资源管理器可能会生成下面的事件,及其子类别启用时。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。
收起该表格展开该表格
ID 消息
4670 已更改对象上的权限。

类别: 特权使用

子类别: 敏感权限使用 / 非敏感权限使用

收起该表格展开该表格
ID 消息
4672分配给新的登录特权。
4673调用特权的服务了。
4674试图在特权对象上执行操作。

类别: 系统

子类别: IPsec 驱动程序

收起该表格展开该表格
ID 消息
4960IPsec 丢弃入站的数据包的完整性检查失败。如果此问题仍然存在,它可能表示网络问题或该数据包会传输到这台计算机中被修改。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现的互操作性问题。
4961IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在,它可能表明针对此计算机的重播攻击。
4962IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号,以确保它不是重。
4963IPsec 丢弃应该保护的入站的明文数据包。如果将远程计算机配置与请求出站 IPsec 策略,这可能是良性和预期。这也可能致其 IPsec 策略更改而不通知该计算机的远程计算机。这也可能是欺骗的攻击企图。
4965IPsec 从远程计算机使用不正确的安全参数索引 (SPI) 接收到数据包。这通常是由已损坏的数据包的故障硬件引起的。如果这些错误仍然存在,请验证来自远程计算机所发送的数据包是否接收到这台计算机的相同。此错误也可能表示与其他 IPsec 实现的互操作性问题。在这种情况下,如果不被阻碍的连接,然后这些事件可以被忽略。
5478IPsec 策略代理服务已启动。
5479IPsec 服务已成功关闭。IPsec 服务关闭,可以将网络攻击的风险更高的计算机或将计算机暴露给潜在的安全风险。
5480IPsec 策略代理无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。
5483IPsec 策略代理服务未能初始化它的 RPC 服务器。无法启动该服务。
5484IPsec 策略代理服务遇到严重错误,已关闭。关闭此服务,可以使网络攻击的风险更高的计算机或将计算机暴露给潜在的安全风险。
5485IPsec 策略代理无法处理网络接口上的即插即用播放事件一些 IPsec 筛选器。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。

子类别: 其他系统事件

收起该表格展开该表格
ID 消息
5024Windows 防火墙服务已成功启动。
5025Windows 防火墙服务已停止。
5027Windows 防火墙服务无法从本地存储区中检索的安全策略。Windows 防火墙将继续执行当前的策略。
5028Windows 防火墙无法分析新的安全策略。Windows 防火墙将继续执行当前的策略。
5029Windows 防火墙服务无法初始化该驱动程序。Windows 防火墙将继续执行当前的策略。
5030Windows 防火墙服务无法启动。
5032Windows 防火墙不能通知用户它阻止接受传入连接在网络上的应用程序。
5033Windows 防火墙驱动程序已成功启动。
5034Windows 防火墙驱动程序已停止。
5035Windows 防火墙驱动程序启动失败。
5037Windows 防火墙驱动程序检测到一个关键的运行时错误,正在终止。
5058密钥文件操作。
5059关键的迁移操作。
6400同时还发现内容的可用性,分支缓存: 收到格式不正确的响应。
6401分支缓存: 从对等方接收到无效的数据。数据丢失。
6403分支缓存: 托管的缓存发送格式不正确的响应客户端。
6404分支缓存: 托管的缓存无法验证使用资源调配的 SSL 证书。
6405分支缓存: %2 的事件 id 为 %1 的实例发生。
6406向 Windows 防火墙注册到控件下面的筛选的 %1: %2
64071 %

子类别: 安全状态更改

收起该表格展开该表格
ID 消息
4608Windows 正在启动。
4616更改系统时间。
4621管理员在禁用从恢复系统。现在允许用户不是管理员的登录。某些可审核的活动可能无法录制。

子类别: 安全系统扩展

收起该表格展开该表格
ID 消息
4610已由本地安全机构加载身份验证程序包。
4611受信任的登录进程已被本地安全机构注册。
4614安全帐户管理器已加载通知程序包。
4622安全程序包已由本地安全机构加载。
4697在系统中已安装的服务。

子类别: 系统完整性

收起该表格展开该表格
ID 消息
4612进行审核消息进行排队而分配的内部资源已用尽,从而会导致丢失的一些审核。
4615LPC 端口的无效使用。
4618监视的安全事件模式出现。
4816RPC 检测到存在完整性冲突,同时对传入消息进行解密。
5038代码完整性确定映像散列的文件无效。该文件可能被破坏,由于未经授权的修改或无效的哈希可能表明存在潜在的磁盘设备错误。
5056执行加密的自我测试。
5057加密基元操作失败。
5060验证操作失败。
5061加密操作。
5062内核模式加密自检未执行。
6281代码完整性取决于图像文件的页面哈希值是无效的。该文件可能是未正确签名而无需页面哈希或损坏原因是未经授权的修改。无效的哈希值可能表明存在潜在的磁盘设备错误

备注

  • 若要返回一个更详细的列表中的所有安全审核事件条目,在提升的命令提示符下以管理员身份运行下面的命令:
    wevtutil Microsoft 的 Windows 的安全审核的 gp /ge /gm:true
    下面的示例显示输出的一部分:
      event:
        value: 4706
        version: 0
        opcode: 0
        channel: 10
        level: 4
        task: 0
        keywords: 0x8000000000000000
        message: A new trust was created to a domain.
    
    Subject:
    	Security ID:		%3
    	Account Name:		%4
    	Account Domain:		%5
    	Logon ID:		%6
    
    Trusted Domain:
    	Domain Name:		%1
    	Domain ID:		%2
    
    Trust Information:
    	Trust Type:		%7
    	Trust Direction:		%8
    	Trust Attributes:		%9
    	SID Filtering:		%10
    
  • 要返回的所有安全审核类别和子类别列表,请运行在提升的命令提示符下以管理员身份下面的命令:
    auditpol /list /subcategory: *

参考

有关 Wevtutil 实用程序的详细信息,请访问下面的 Microsoft Web 站点:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
有关 Auditpol 实用程序的详细信息,请访问下面的 Microsoft Web 站点:
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
有关高级 Windows 7 和 Windows Server 2008 R2 中的安全审核策略设置的详细信息,请访问下面的 Microsoft Web 站点:
http://technet.microsoft.com/en-us/library/dd772712 (WS.10).aspx
有关在 Windows Vista 和 Windows Server 2008 中的安全审核的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
947226在 Windows Vista 和 Windows Server 2008 中的安全事件的说明

属性

文章编号: 977519 - 最后修改: 2013年5月20日 - 修订: 3.0
这篇文章中的信息适用于:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
关键字:?
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 977519
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com