你目前正处于脱机状态,正在等待 Internet 重新连接

Windows 7和Windows Server 2008 R2 安全事件的说明

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 977519
简介
本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别事件的更具说明性数据。
更多信息
本节列出按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。

类别 ︰ 帐户登录

子类别 ︰ 凭据验证

标识 消息
4774帐户已登录映射。
4775无法映射的登录帐户。
4776计算机试图验证的帐户凭据。
4777域控制器无法验证帐户的凭据。

子类别 ︰ Kerberos 身份验证服务

标识 消息
4768Kerberos 身份验证票证 (TGT) 请求。
4771Kerberos 预身份验证失败。
4772Kerberos 身份验证票证请求失败。

子类别 ︰ Kerberos 服务票据操作

标识 消息
4769Kerberos 服务票证请求。
4770Kerberos 服务票证续订。
4773Kerberos 服务票证请求失败。

类别 ︰ 帐户管理

子类别 ︰ 应用程序组管理

标识 消息
4783基本应用程序组已创建。
4784基本应用程序组已更改。
4785已将成员添加到基本应用程序组。
4786已从基本应用程序组中删除成员。
4787非成员被添加到基本应用程序组。
4788非成员已从基本应用程序组。
4789基本应用程序组已被删除。
4790创建 LDAP 查询组。
4791基本应用程序组已更改。
4792LDAP 查询组已被删除。

子类别 ︰ 计算机帐户管理

标识 消息
4741计算机帐户已创建。
4742计算机帐户已更改。
4743计算机帐户已被删除。

子类别 ︰ 通讯组管理

标识 消息
4744已创建禁用安全的本地组。
4745禁用安全的本地组已更改。
4746成员已添加至禁用安全的本地组。
4747成员已从禁用安全的本地组中删除。
4748已删除禁用安全的本地组。
4749已创建禁用安全的全局组。
4750禁用安全的全局组已更改。
4751成员已添加至禁用安全的全局组。
4752成员已从禁用安全的全局组删除。
4753已删除禁用安全的全局组。
4759已创建禁用安全的通用组。
4760禁用安全的通用组已更改。
4761成员已添加至禁用安全的通用组。
4762成员已从禁用安全的通用组删除。

子类别 ︰ 其他帐户管理事件

标识 消息
4782访问帐户的密码哈希。
4793密码策略检查 API 被调用。

子类别 ︰ 安全组管理

标识 消息
4727启用安全的全局组已创建。
4728成员已添加至已启用安全的全局组。
4729已从启用安全的全局组中删除成员。
4730启用安全的全局组已删除。
4731启用安全的本地组已创建。
4732已将成员添加到启用安全的本地组。
4733已从启用安全的本地组中删除成员。
4734启用安全的本地组已删除。
4735启用安全的本地组已更改。
4737启用安全的全局组已更改。
4754启用安全的通用组已创建。
4755启用安全的通用组已更改。
4756成员已添加至已启用安全的通用组。
4757成员已从启用安全的通用组删除。
4758启用安全的通用组已删除。
4764组的类型已更改。

子类别 ︰ 用户帐户管理

标识 消息
4720用户帐户已创建。
4722用户帐户被启用。
4723尝试更改帐户密码。
4724尝试重置帐户密码。
4725已禁用的用户帐户。
4726用户帐户已被删除。
4738用户帐户已更改。
4740用户帐户被锁定。
4765SID 历史记录已添加到帐户。
4766要添加到帐户的 SID 历史记录的尝试失败。
4767用户帐户的锁定。
4780在管理员组成员的帐户上设置 ACL。
4781帐户名称已更改 ︰
4794尝试设置目录服务还原模式。
5376凭据管理器凭据进行备份。
5377凭据管理器凭据已从备份中还原。

类别 ︰ 详细的跟踪

子类别 ︰ DPAPI 活动

标识 消息
4692尝试进行备份的数据保护主密钥。
4693尝试恢复数据保护主密钥。
4694试图进行可审核的受保护数据的保护。
4695Unprotection 可审核的受保护数据的尝试。

子类别 ︰ 进程创建

标识 消息
4688已创建一个新的进程。
4696一个主令牌被分配来处理。

子类别 ︰ 终止进程

标识 消息
4689进程已退出。

子类别 ︰ RPC 事件

标识 消息
5712 尝试执行远程过程调用 (RPC)。

类别 ︰ DS 访问

子类别 ︰ 详细的目录服务复制

标识 消息
4928建立一个 活动目录(AD) 复制副本源命名上下文。
4929已删除 活动目录(AD) 复制副本源命名上下文。
4930活动目录(AD) 复制副本源命名上下文已被修改。
4931活动目录(AD) 复制目标命名上下文已被修改。
4934活动目录(AD) 对象的属性被复制。
4935开始复制失败。
4936复制失败结束。
4937从副本中删除延迟对象。

子类别 ︰ 目录服务访问

标识 消息
4662 在对象上执行操作。

子类别 ︰ 目录服务更改

标识 消息
5136目录服务对象已被修改。
5137创建目录服务对象。
5138未删除目录服务对象。
5139目录服务对象已移动。
5141 目录服务对象已被删除。

子类别 ︰ 目录服务复制

标识 消息
4932活动目录(AD) 命名上下文的副本的同步已开始。
4933活动目录(AD) 命名上下文的副本的同步已结束。

类别 ︰ 登录/注销

子类别 ︰ IPsec 扩展模式

标识 消息
4978在扩展的模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
4979建立 IPsec 主模式与扩展的模式安全关联。
4980建立 IPsec 主模式与扩展的模式安全关联。
4981建立 IPsec 主模式与扩展的模式安全关联。
4982建立 IPsec 主模式与扩展的模式安全关联。
4983IPsec 的扩展模式协商失败。相应的主模式安全关联已被删除。
4984IPsec 的扩展模式协商失败。相应的主模式安全关联已被删除。

子类别 ︰ IPsec 主模式

标识 消息
4646开始 IKE DoS 保护模式。
4650建立 IPsec 主模式安全关联。未启用扩展的模式。不使用证书身份验证。
4651建立 IPsec 主模式安全关联。未启用扩展的模式。证书用于身份验证。
4652主模式协商失败,IPsec。
4653主模式协商失败,IPsec。
4655结束了 IPsec 主模式安全关联。
4976在主模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5049已删除 IPsec 安全关联。
5453IPsec 策略代理在计算机上应用了 活动目录(AD) IPsec 策略存储。

子类别 ︰ IPsec 快速模式

标识 消息
4654快速模式协商失败,IPsec。
4977在快速模式协商期间 IPsec 收到无效的协商数据包。如果此问题仍然存在,它可能表明存在网络问题或试图修改或重放此协商。
5451建立 IPsec 快速模式安全关联。
5452结束的 IPsec 快速模式安全关联。

子类别 ︰ 注销

标识 消息
4634 帐户被注销。
4647 用户启动注销过程。

子类别 ︰ 登录

标识 消息
4624成功登录帐户。
4625帐户登录失败。
4648试图使用显式凭据登录。
4675已筛选的 Sid。

子类别 ︰ 网络策略服务器

标识 消息
6272网络策略服务器向用户授予访问权限。
6273网络策略服务器拒绝用户访问。
6274网络策略服务器放弃用户的请求。
6275网络策略服务器丢弃用户记帐请求。
6276网络策略服务器隔离用户。
6277网络策略服务器授予访问权限的用户,但将其放上试用,因为主机不符合该定义的健康策略。
6278网络策略服务器向用户授予完全访问权限,因为主机满足定义的运行状况策略。
6279网络策略服务器锁定由于重复失败的验证尝试的用户帐户。
6280网络策略服务器已解锁用户帐户。

子类别 ︰ 其他登录/注销事件

标识 消息
4649检测到的重播攻击。
4778到窗口站重新连接会话。
4779从窗口站,会话已断开连接。
4800锁定工作站。
4801交互式地使用计算机。
4802屏幕保护程序被调用。
4803已关闭屏幕保护程序。
5378请求的凭据委派是不允许的策略。
5632请求对无线网络进行身份验证。
5633请求进行身份验证的有线网络。

子类别 ︰ 特殊登录

标识 消息
4964 特殊组已分配到一个新的登录帐户。

类别 ︰ 对象访问

子类别 ︰ 应用程序生成

标识 消息
4665尝试创建应用程序客户端上下文。
4666应用程序试图执行的操作 ︰
4667应用程序客户端上下文已被删除。
4668应用程序已初始化。

子类别 ︰ 证书服务

标识 消息
4868证书管理器拒绝了挂起的证书请求。
4869证书服务收到重新提交的证书申请。
4870证书服务吊销了证书。
4871证书服务收到发行证书吊销列表 (CRL) 的请求。
4872证书服务发行了证书吊销列表 (CRL)。
4873更改了证书申请扩展。
4874更改一个或多个证书申请属性。
4875证书服务收到关闭请求。
4876证书服务备份已启动。
4877证书服务备份已完成。
4878已开始证书服务还原。
4879证书服务还原已完成。
4880证书服务已启动。
4881证书服务已停止。
4882证书服务的安全权限已更改。
4883证书服务检索到存档的密钥。
4884证书服务将证书导入它的数据库。
4885证书服务的审核筛选已更改。
4886证书服务收到了一个证书申请。
4887证书服务批准了证书申请并颁发了证书。
4888证书服务拒绝证书请求。
4889证书服务将证书请求状态设置为挂起。
4890证书服务的证书管理器设置已更改。
4891证书服务更改的配置项。
4892证书服务的属性已更改。
4893证书服务存档了密钥。
4894证书服务导入和存档了密钥。
4895证书服务发布到 活动目录(AD) 域服务的 CA 证书。
4896已从证书数据库删除一行或多行。
4897启用角色分离 ︰
4898证书服务加载模板。
4899证书服务模板进行更新。
4900证书服务模板安全性已更新。
5120OCSP 响应程序服务已启动。
5121OCSP 响应程序服务停止。
5122OCSP 响应程序服务中更改的配置项。
5123OCSP 响应程序服务中更改的配置项。
5124OCSP 响应程序服务已更新安全设置。
5125请求已提交到 OCSP 响应程序服务。
5126OCSP 响应程序服务已自动更新签名证书。
5127OCSP 吊销提供程序已成功更新的吊销信息。

子类别 ︰ 详细的文件共享

标识 消息
5145 网络共享对象已检查以查看是否客户机可以被授予所需访问权限。

子类别 ︰ 文件共享

标识 消息
5140访问网络共享对象。
5142已添加网络共享对象。
5143网络共享对象被修改。
5144已删除网络共享对象。
5168SMB/SMB2 的 Spn 检查失败。

子类别 ︰ 文件系统

标识 消息
4664尝试创建硬链接。
4985交易记录的状态已更改。
5051文件的虚拟化。

子类别 ︰ 筛选平台连接

标识 消息
5031Windows 防火墙服务阻止接受传入连接在网络上的应用程序。
5148Windows 筛选平台已检测到 DoS 攻击并进入防御模式;与这种攻击相关的数据包将被丢弃。
5149DoS 攻击减少,并正在继续正常处理。
5150Windows 筛选平台已阻止的数据包。
5151限制性更强的 Windows 筛选平台过滤器已阻止数据包。
5154要在端口上侦听传入连接的应用程序或服务允许 Windows 筛选平台。
5155Windows 筛选平台已阻止的应用程序或服务在端口上侦听传入的连接。
5156Windows 筛选平台允许连接。
5157Windows 筛选平台已阻止连接。
5158Windows 筛选平台允许绑定到本地端口。
5159Windows 筛选平台已阻止绑定到本地端口。

子类别 ︰ 筛选平台数据包丢弃

标识 消息
5152 Windows 筛选平台已阻止的数据包。
5153 限制性更强的 Windows 筛选平台过滤器已阻止数据包。

子类别 ︰ 句柄操作

标识 消息
4656请求的对象的句柄。
4658已关闭的对象句柄。
4690尝试复制一个对象的句柄。

子类别 ︰ 其他对象访问事件

标识 消息
4671应用程序试图访问被阻止的序号通过进行 tbs。
4691请求的对象的间接访问。
4698创建计划的任务。
4699计划的任务已被删除。
4700计划的任务已启用。
4701已禁用计划的任务。
4702已更新计划的任务。
4702已更新计划的任务。
5888在 COM + 目录中的对象已被修改。
5889从 COM + 目录中删除对象。
5890对象已添加到 COM + 目录中。

子类别 ︰ 注册表

标识 消息
4657 修改注册表值。
5039 注册表项被虚拟化。

特殊的多用途子类别的子类别 ︰

注意:任何资源管理器可能会生成下面的事件及其子类别启用。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。对象访问 ︰ 内核对象对象访问 ︰ SAM子类别是以独占方式使用这些事件的子类别的示例。
标识 消息
4659旨在通过删除请求的对象的句柄。
4660对象已被删除。
4661请求的对象的句柄。
4663试图访问的对象。

类别 ︰ 策略更改

子类别 ︰ 审核策略更改

标识 消息
4715已更改对象上的审核策略 (SACL)。
4719系统审核策略已更改。
4817已更改对象上的审核设置。
4902每用户审核策略表已创建。
4904尝试注册安全事件源。
4905尝试取消安全事件源注册。
4906禁用组值已更改。
4907已更改对象上的审核设置。
4908修改特殊组登录表格。
4912每个用户审核策略已更改。

子类别 ︰ 身份验证策略更改

标识 消息
4706向域创建新的信任。
4707已删除对一个域的信任。
4713Kerberos 策略已更改。
4716已修改受信任的域的信息。
4717系统安全访问权限授予帐户。
4718帐户已删除系统安全访问权限。
4739域策略已更改。
4864检测到的命名空间冲突。
4865添加受信任的林信息条目。
4866已删除受信任的林信息项。
4867已修改受信任的林信息项。

子类别 ︰ 授权策略更改

标识 消息
4704已分配用户权限。
4705已删除了用户权限。
4714已更改的数据恢复代理组策略的加密文件系统 (EFS)。新的更改尚未应用。

子类别 ︰ 筛选平台策略更改

标识 消息
4709IPsec 策略代理服务已启动。
4710已禁用 IPsec 策略代理服务。
4711可能包含下列之一 ︰
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎的计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储。
  • PAStore 引擎无法在计算机上应用 IPsec 策略的本地注册表存储。
  • PAStore 引擎无法应用在计算机上的活动 IPsec 策略的某些规则。
  • PAStore 引擎无法加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载目录存储在计算机上的 IPsec 策略。
  • PAStore 引擎无法加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎加载本地存储在计算机上的 IPsec 策略。
  • PAStore 引擎对活动的 IPsec 策略更改轮询并检测到任何更改。
4712IPsec 策略代理遇到潜在的严重问题。
5040IPsec 设置已更改。已添加身份验证集。
5041IPsec 设置已更改。身份验证设置已被修改。
5042IPsec 设置已更改。身份验证设置已被删除。
5043IPsec 设置已更改。已添加的连接安全规则。
5044IPsec 设置已更改。连接安全规则已被修改。
5045IPsec 设置已更改。连接安全规则已被删除。
5046IPsec 设置已更改。添加加密设置。
5047IPsec 设置已更改。加密设置已被修改。
5048IPsec 设置已更改。加密设置已被删除。
5440下面标注时 Windows 筛选平台基本筛选引擎启动时出现。
5441下面的筛选器是 Windows 筛选平台基本筛选引擎启动时出现。
5442下列提供程序是 Windows 筛选平台基本筛选引擎启动时出现。
5443当 Windows 筛选平台基本筛选引擎启动时存在下列提供程序上下文。
5444下面的子图层时 Windows 筛选平台基本筛选引擎启动时出现。
5446已更改 Windows 筛选平台标注。
5448已更改 Windows 筛选平台提供商。
5449Windows 筛选平台提供程序上下文已被更改。
5450已更改 Windows 筛选平台的子图层。
5456PAStore 引擎的计算机上应用 IPsec 策略的 活动目录(AD) 存储。
5457IPsec 策略代理在计算机上应用 IPsec 策略的 活动目录(AD) 存储失败。
5458本地应用的 IPsec 策略代理缓存中的活动目录存储在计算机上的 IPsec 策略的副本。
5459IPsec 策略代理无法在计算机上应用 IPsec 策略的 活动目录(AD) 存储的本地缓存的副本。
5460IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储。
5461IPsec 策略代理在计算机上应用 IPsec 策略的本地注册表存储失败。
5462IPsec 策略代理无法应用在计算机上的活动 IPsec 策略的某些规则。IP 安全监视器管理单元中使用,用来诊断问题。
5463IPsec 策略代理轮询的活动 IPsec 策略的更改,并检测到任何更改。
5464IPsec 策略代理对活动的 IPsec 策略更改轮询、 检测到更改,并且应用它们。
5465IPsec 策略代理收到用于 IPsec 策略的强制重新加载的控件,成功地处理该控件。
5466IPsec 策略代理轮询到活动目录 IPsec 策略中,已确定 活动目录(AD) 无法访问,并将改为使用活动目录 IPsec 策略缓存的副本的更改。由于上次轮询不能应用到活动目录 IPsec 策略中做的任何更改。
5467IPsec 策略代理轮询更改活动目录 IPsec 策略,确定可以达到,并且找到策略没有更改 活动目录(AD) 中。活动目录 IPsec 策略缓存的副本不再被使用。
5468IPsec 策略代理轮询更改到活动目录 IPsec 策略中,已确定 活动目录(AD) 可以达到,找到更改策略,并应用这些更改。活动目录 IPsec 策略缓存的副本不再被使用。
5471IPsec 策略代理加载本地存储在计算机上的 IPsec 策略。
5472IPsec 策略代理无法加载本地存储在计算机上的 IPsec 策略。
5473IPsec 策略代理加载目录存储在计算机上的 IPsec 策略。
5474IPsec 策略代理无法加载目录存储在计算机上的 IPsec 策略。
5477IPsec 策略代理无法添加快速模式筛选器。

子类别 ︰ mpssvc 规则级别策略更改

标识 消息
4944当启动 Windows 防火墙时,以下策略处于活动状态。
4945当启动 Windows 防火墙已列出规则。
4946Windows 防火墙例外列表已更改。添加的规则。
4947Windows 防火墙例外列表已更改。修改规则的。
4948Windows 防火墙例外列表已更改。规则已被删除。
4949Windows 防火墙设置都恢复为默认值。
4950更改 Windows 防火墙设置。
4951Windows 防火墙忽略规则,因为无法识别的主要版本号。
4952Windows 防火墙忽略规则的部分,因为无法识别它的次要版本号。将强制执行该规则的其他部分。
4953由于无法分析,Windows 防火墙将忽略规则。
4954Windows 防火墙组策略设置已更改,并且未应用新设置。
4956Windows 防火墙更改活动配置文件。
4957Windows 防火墙未应用以下规则:
4958因为规则引用的项目未在此计算机上配置 Windows 防火墙未应用以下规则 ︰
5050尝试以编程方式禁用 Windows 防火墙使用 INetFwProfile.FirewallEnabled(FALSE) 接口的调用被拒绝,因为此 API 不支持此版本的 Windows 上。这是最可能的原因是与此版本的 Windows 不兼容的程序。请联系该程序的制造商联系,以确保您具有兼容的程序版本。

子类别 ︰ 其他策略更改事件

标识 消息
4909TBS 的本地策略设置已更改。
4910TBS 的组策略设置已更改。
5063加密提供程序操作。
5064尝试加密上下文操作。
5065试图执行加密上下文修改。
5066加密函数操作。
5067试图执行的加密函数修改。
5068试图进行加密的功能提供程序操作。
5069尝试加密函数属性操作。
5070试图执行的加密函数属性修改。
5447Windows 筛选平台筛选器已更改。
6144已成功应用的组策略对象中的安全策略。
6145处理组策略对象中的安全策略时出现一个或多个错误。

特殊的多用途子类别的子类别 ︰

注意:任何资源管理器可能会生成下面的事件及其子类别启用。例如,通过注册表资源管理器或文件系统资源管理器,可能会生成下面的事件。
标识 消息
4670 已更改对象上的权限。

类别 ︰ 特权使用

子类别 ︰ 敏感权限使用 / 非敏感权限使用

标识 消息
4672分配给新的登录特权。
4673特权的服务被调用。
4674试图在特权对象上执行操作。

类别 ︰ 系统

子类别 ︰ IPsec 驱动程序

标识 消息
4960IPsec 丢弃入站的数据包的完整性检查失败。如果此问题仍然存在,它可能表明存在网络问题或该数据包正在修改传输到这台计算机中。验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误还可能指示与其他 IPsec 实现互操作性问题。
4961IPsec 丢弃无法重播检查入站的数据包。如果此问题仍然存在,它可能表明针对此计算机的重播攻击。
4962IPsec 丢弃无法重播检查入站的数据包。入站的数据包所太低的序列号,以确保它不是重播。
4963IPsec 丢弃应该保护的入站的明文数据包。如果远程计算机请求出站 IPsec 策略配置,这可能是良性和预期。这也可以致其 IPsec 策略更改而不通知此计算机的远程计算机。这也可能是欺骗的攻击企图。
4965IPsec 将数据包来自远程计算机具有不正确的安全参数索引 (SPI)。这通常是由有故障正在损坏数据包的硬件引起的。如果这些错误仍然存在,请验证来自远程计算机所发送的数据包接收到这台计算机的相同。此错误还可能指示与其他 IPsec 实现互操作性问题。在这种情况下,如果不被阻碍的连接,然后这些事件可以忽略。
5478IPsec 策略代理服务已启动。
5479IPsec 服务已成功关闭。IPsec 服务的关闭可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。
5480IPsec 策略代理无法获取该计算机上的网络接口的完整列表。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。
5483IPsec 策略代理服务未能初始化其 RPC 服务器。无法启动该服务。
5484IPsec 策略代理服务遇到严重错误,已关闭。关闭此服务,可以将网络攻击的风险更高的计算机或使计算机面临安全隐患。
5485IPsec 策略代理无法处理网络接口插件播放事件上的一些 IPsec 筛选器。这会造成潜在的安全风险,因为某些网络接口可能得不到通过应用 IPsec 筛选器提供的保护。IP 安全监视器管理单元中使用,用来诊断问题。

子类别 ︰ 其他系统事件

标识 消息
5024Windows 防火墙服务已成功启动。
5025Windows 防火墙服务已停止。
5027Windows 防火墙服务无法从本地存储区中检索的安全策略。Windows 防火墙将继续执行当前的策略。
5028Windows 防火墙无法分析新的安全策略。Windows 防火墙将继续执行当前的策略。
5029Windows 防火墙服务无法初始化该驱动程序。Windows 防火墙将继续执行当前的策略。
5030Windows 防火墙服务无法启动。
5032Windows 防火墙不能通知用户它阻止接受传入连接在网络上的应用程序。
5033Windows 防火墙驱动程序已成功启动。
5034Windows 防火墙驱动程序已停止。
5035Windows 防火墙驱动程序启动失败。
5037Windows 防火墙驱动程序检测到严重的运行时错误,正在终止。
5058密钥文件操作。
5059键迁移操作。
6400发现内容的可用性时,分支缓存 ︰ 收到格式不正确的响应。
6401分支缓存 ︰ 来自对等方接收到无效的数据。数据丢失。
6403分支缓存 ︰ 托管的缓存发送格式不正确的响应客户端。
6404分支缓存 ︰ 托管的缓存无法验证使用已设置的 SSL 证书。
6405分支缓存中: %2 实例 id 为 %1 的事件的发生。
6406到 Windows 防火墙注册为以下用于筛选的控件的 %1: %2
64071%

子类别 ︰ 安全状态更改

标识 消息
4608Windows 正在启动。
4616更改系统时间。
4621管理员已禁用组从恢复系统。现在将允许用户不是管理员登录。可能不记录一些可审核的活动。

子类别 ︰ 安全系统扩展

标识 消息
4610已由本地安全机构加载身份验证程序包。
4611受信任的登录进程已与本地安全机构注册。
4614安全帐户管理器已加载通知程序包。
4622安全程序包已由本地安全机构加载。
4697在系统中已安装的服务。

子类别 ︰ 系统完整性

标识 消息
4612进行的审核消息进行排队而分配的内部资源已用尽,从而导致丢失的一些审计。
4615使用 LPC 端口无效。
4618监视的安全事件模式出现。
4816RPC 检测到解密传入消息时存在完整性冲突。
5038代码完整性取决于文件的图像哈希是无效。该文件可能会损坏原因是未经授权的修改或无效哈希可能表明存在潜在的磁盘设备错误。
5056执行加密的自我测试。
5057当加密基元操作失败。
5060验证操作失败。
5061加密操作。
5062内核模式加密自检未执行。
6281代码完整性确定图像文件的网页哈希值无效。该文件可能会不正确地签名而无需页面哈希或损坏原因是未经授权的修改。无效的哈希值可能表明存在潜在的磁盘设备错误

备注:

  • 若要返回一个更详细的所有安全审核事件条目列表,在提升的命令提示符以管理员身份运行以下命令 ︰
    wevtutil Microsoft -Windows-Security_Auditing gp /ge /gm:true
    下面的示例显示输出的一部分 ︰
      event:    value: 4706    version: 0    opcode: 0    channel: 10    level: 4    task: 0    keywords: 0x8000000000000000    message: A new trust was created to a domain.Subject:	Security ID:		%3	Account Name:		%4	Account Domain:		%5	Logon ID:		%6Trusted Domain:	Domain Name:		%1	Domain ID:		%2Trust Information:	Trust Type:		%7	Trust Direction:		%8	Trust Attributes:		%9	SID Filtering:		%10
  • 若要返回列表中的所有安全审核类别和子类别,请以管理员身份在提升的命令提示符下运行以下命令 ︰
    auditpol /list /subcategory: *
参考
关于 Wevtutil 实用程序的详细信息,请访问下面的 Microsoft 网站 ︰ 关于 Auditpol 实用程序的详细信息,请访问下面的 Microsoft 网站 ︰ 有关高级 Windows 7 和 Windows Server 2008 R2 中的安全审核策略设置的详细信息,请访问下面的 Microsoft 网站 ︰ 有关 Windows Vista 和 Windows Server 2008 中的安全审核的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章 ︰
947226 在 Windows Vista 和 Windows Server 2008 中的安全事件的说明

警告:本文已自动翻译

属性

文章 ID:977519 - 上次审阅时间:06/12/2016 11:15:00 - 修订版本: 4.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtzh
反馈