Compartir a través de


Apéndice L: Eventos que se van a supervisar

En la tabla siguiente se enumeran los eventos que debe supervisar en su entorno, según las recomendaciones proporcionadas en Supervisión de Active Directory en busca de indicios de riesgo. Todas las organizaciones deben probar estas recomendaciones en sus entornos antes de crear las alertas que requieren respuestas investigación obligatorias. Cada entorno es diferente y algunos de los eventos clasificados con una posible importancia crítica de High pueden producirse debido a otros eventos inofensivos.

Note

The default logging behavior in Windows systems varies by version and edition, with many audit-related Group Policy Objects (GPO) set to Not Configured by default. Esto significa que el sistema se basa en la configuración integrada para el registro de eventos. Aunque los eventos críticos, como los cambios de directiva de auditoría (id. de evento 4719), normalmente se registran, otros eventos específicos (como los identificadores de evento 4618 y 4649) pueden requerir que se capture la configuración de directiva de auditoría explícita.

Para un registro completo, incluidos los identificadores de eventos pertinentes, los administradores deben configurar las directivas de auditoría adecuadas en Configuración del equipo\Configuración de seguridad\Configuración avanzada de directivas de auditoría y Configuración del equipo\Plantillas administrativas\Componentes de Windows y otras secciones pertinentes de la directiva de grupo.

Dadas estas variables, es esencial que las organizaciones revisen y, si es necesario, ajuste sus configuraciones de auditoría de seguridad de Windows para alinearse con sus objetivos de seguridad y cumplimiento. Esto garantiza que se capturen eventos significativos en el Visor de eventos de Windows, lo que admite de forma eficaz los requisitos de seguridad y cumplimiento.

Tabla de id. de evento

En la tabla siguiente, la columna "Identificador de evento de Windows actual" enumera el identificador de evento, ya que se implementa en versiones de Windows y Windows Server que están actualmente en soporte estándar. La columna "Identificador de evento de Windows heredado" muestra el identificador de evento correspondiente en versiones heredadas de Windows, como equipos cliente que ejecutan Windows XP o versiones anteriores y servidores que ejecutan Windows Server 2003 o versiones anteriores.

La columna "Importancia potencial" identifica si el evento debe considerarse de importancia crítica baja, media o alta en la detección de ataques, y la columna "Resumen de eventos" proporciona una breve descripción del evento. Una importancia potencial alta significa que la ocurrencia del evento se debe investigar. La importancia potencial media o baja significan que estos eventos solo deben investigarse si se producen de forma inesperada o en un número que supere significativamente la línea de base esperada en un periodo de tiempo medido.

Id. de evento de Windows actual Identificador de evento de Windows heredado Potential Criticality Event Summary
4618 N/A High Se ha producido un patrón de evento de seguridad supervisado.
4649 N/A High Se detectó un ataque de reproducción. Puede ser un falso positivo inofensivo debido a un error de configuración.
4719 612 High Se cambió la directiva de auditoría del sistema
4765 N/A High Se agregó el historial de SID a una cuenta.
4766 N/A High Se produjo un error al intentar agregar el historial de SID a una cuenta.
4794 N/A High Se intentó establecer el Modo de restauración de servicios de directorio.
4897 801 High Separación de roles habilitada.
4964 N/A High Se han asignado Grupos especiales un nuevo inicio de sesión.
5124 N/A High Se actualizó una configuración de seguridad en el servicio de respondedor OCSP.
N/A 550 Media a alta Posible ataque por denegación de servicio (DoS).
1102 517 Media a alta Se ha borrado el registro de auditoría.
4621 N/A Medium El administrador recuperó el sistema del error CrashOnAuditFail. Los usuarios que no sean administradores podrán iniciar sesión ahora. Es posible que no se haya registrado alguna actividad de auditoría.
4675 N/A Medium Se filtraron SID.
4692 N/A Medium Se intentó hacer una copia de seguridad de la clave maestra de protección de datos
4693 N/A Medium Se intentó recuperar la clave maestra de protección de datos
4706 610 Medium Se creó una nueva confianza para un dominio
4713 617 Medium Se cambió la directiva Kerberos
4714 618 Medium Se cambió la directiva de recuperación de datos cifrados
4715 N/A Medium Se cambió la directiva de auditoría (SACL) en un objeto
4716 620 Medium Se modificó la información de dominio de confianza
4724 628 Medium Se ha realizado un intento de restablecer la contraseña de una cuenta.
4727 631 Medium Se creó un grupo global con seguridad habilitada.
4735 639 Medium Se cambió un grupo local con seguridad habilitada.
4737 641 Medium Se cambió un grupo global con seguridad habilitada.
4739 643 Medium Se cambió la directiva de dominio
4754 658 Medium Se creó un grupo universal con la seguridad habilitada.
4755 659 Medium Se cambió un grupo universal con la seguridad habilitada.
4764 667 Medium Se eliminó un grupo deshabilitado de seguridad.
4764 668 Medium Se cambió el tipo de un grupo.
4780 684 Medium Se estableció la ACL en cuentas que son miembros de grupos de administradores.
4816 N/A Medium RPC detectó una infracción de integridad al descifrar un mensaje entrante.
4865 N/A Medium Se agregó una entrada de información de bosque de confianza
4866 N/A Medium Se eliminó una entrada de información de bosque de confianza
4867 N/A Medium Se modificó una entrada de información de bosque de confianza
4868 772 Medium El Administrador de certificados ha denegado una solicitud de certificado pendiente.
4870 774 Medium Servicios de servidor de certificados revocó un certificado.
4882 786 Medium Se cambiaron los permisos de seguridad para Servicios de servidor de certificados.
4885 789 Medium Se cambió el filtro de auditoría para Servicios de servidor de certificados.
4890 794 Medium Se cambió la configuración del administrador de certificados para Servicios de servidor de certificados.
4892 796 Medium Se cambió una propiedad de Servicios de servidor de certificados.%
4896 800 Medium Una o más filas se han eliminado de la base de datos de certificados.
4906 N/A Medium Se cambió el valor de CrashOnAuditFail
4907 N/A Medium Se cambió la configuración de auditoría del objeto
4908 N/A Medium Se modificó la tabla de inicio de sesión de grupos especiales
4912 807 Medium Se cambió la directiva de auditoría por usuario
4960 N/A Medium IPsec descartó un paquete entrante con un error en la comprobación de integridad. Si el problema continúa, podría indicar un problema de red o que se están modificando los paquetes en tránsito a este equipo. Comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961 N/A Medium IPsec descartó un paquete entrante con un error en la comprobación de reproducción. Si el problema continúa, podría indicar un ataque de reproducción contra este equipo.
4962 N/A Medium IPsec descartó un paquete entrante con un error en la comprobación de reproducción. El paquete entrante tenía un número de secuencia demasiado bajo para asegurarse de que no fuera una reproducción.
4963 N/A Medium IPsec descartó un paquete de texto no cifrado entrante que debería estar protegido. Esto suele deberse a que el equipo remoto cambió su directiva IPsec sin informar a este equipo. También podría ser un intento de ataque de suplantación.
4965 N/A Medium IPsec recibió un paquete de un equipo remoto con un Índice de parámetro de seguridad (SPI) incorrecto. Esto suele deberse a hardware que funciona incorrectamente y que está dañando los paquetes. Si estos errores continúan, comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, se pueden omitir estos eventos.
4976 N/A Medium Durante la negociación de modo principal, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación.
4977 N/A Medium Durante la negociación de modo rápido, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación.
4978 N/A Medium Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación.
4983 N/A Medium Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente.
4984 N/A Medium Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente.
5027 N/A Medium El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad del almacenamiento local. El servicio continuará aplicando la directiva actual.
5028 N/A Medium El servicio Firewall de Windows no pudo analizar la nueva directiva de seguridad. El servicio continuará con la directiva aplicada actualmente.
5029 N/A Medium El servicio Firewall de Windows no pudo inicializar el controlador. El servicio continuará aplicando la directiva actual.
5030 N/A Medium No se pudo iniciar el servicio Firewall de Windows.
5035 N/A Medium No se pudo iniciar el controlador de Firewall de Windows.
5037 N/A Medium El controlador de Firewall de Windows detectó un error en tiempo de ejecución crítico. Terminating.
5038 N/A Medium Integridad de código determinó que el hash de imagen de un archivo no es válido. El archivo pudo resultar dañado por una modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco.
5120 N/A Medium Se inició el servicio de respondedor OCSP.
5121 N/A Medium Servicio de respondedor OCSP detenido.
5122 N/A Medium Se ha cambiado una entrada de configuración en el servicio de respondedor OCSP.
5123 N/A Medium Se ha cambiado una entrada de configuración en el servicio de respondedor OCSP.
5376 N/A Medium Se hizo una copia de seguridad de las credenciales del Administrador de credenciales.
5377 N/A Medium Se restauraron las credenciales del Administrador de credenciales desde una copia de seguridad.
5453 N/A Medium Error de negociación de IPsec con un equipo remoto. No se inició el servicio de Módulos de creación de claves de IPsec para IKE y AuthIP (IKEEXT).
5480 N/A Medium Error de los servicios IPsec al obtener la lista completa de interfaces de red del equipo. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema.
5483 N/A Medium Error de los servicios IPsec al inicializar el servidor RPC. No se pudieron iniciar los servicios IPsec.
5484 N/A Medium Los servicios IPsec experimentaron un error crítico y se cerraron. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad.
5485 N/A Medium Error de los servicios IPsec al procesar algunos filtros IPsec en un evento de Plug and Play para interfaces de red. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema.
5827 N/A Medium El servicio Netlogon denegó una conexión de un canal seguro de Netlogon vulnerable desde una cuenta de máquina.
5828 N/A Medium El servicio Netlogon denegó una conexión de un canal seguro de Netlogon vulnerable mediante una cuenta de confianza.
6145 N/A Medium Se produjo uno o más errores durante el procesamiento de la directiva de seguridad de los objetos de directiva de grupo.
6273 N/A Medium El Servidor de directivas de redes denegó el acceso a un usuario.
6274 N/A Medium El Servidor de directivas de redes rechazó la solicitud de un usuario.
6275 N/A Medium El Servidor de directivas de redes rechazó la solicitud de cuentas de un usuario.
6276 N/A Medium El Servidor de directivas de redes puso en cuarentena un usuario.
6277 N/A Medium El Servidor de directivas de redes concedió acceso a un usuario, pero lo sometió a un período de prueba porque el host no cumplía la directiva de mantenimiento definida.
6278 N/A Medium El Servidor de directivas de redes concedió acceso total a un usuario porque el host cumplía la directiva de mantenimiento definida.
6279 N/A Medium El Servidor de directivas de redes bloqueó la cuenta de usuario debido a varios intentos de autenticación erróneos.
6280 N/A Medium El Servidor de directivas de redes desbloqueó la cuenta de usuario.
- 640 Medium Se ha cambiado la base de datos de cuentas generales.
- 619 Medium Se ha cambiado la calidad de la directiva de servicio.
24586 N/A Medium Error al convertir el volumen.
24592 N/A Medium Error al intentar reiniciar automáticamente la conversión en el volumen %2.
24593 N/A Medium Escritura de metadatos: el volumen %2 devuelve errores al intentar modificar los metadatos. Si los errores continúan, descifre el volumen.
24594 N/A Medium Recompilación de metadatos: error al intentar escribir una copia de los metadatos en el volumen %2; puede aparecer como daños en el disco. Si los errores continúan, descifre el volumen.
4608 512 Low Windows se está iniciando.
4609 513 Low Windows se está apagando.
4610 514 Low La Autoridad de seguridad local ha cargado un paquete de autenticación.
4611 515 Low Se registró un proceso de inicio de sesión de confianza con la Autoridad de seguridad local.
4612 516 Low Los recursos internos asignados para la cola de mensajes de auditoría se han agotado, provocando la pérdida de algunas auditorías.
4614 518 Low El Administrador de cuentas de seguridad cargó un paquete de notificación.
4615 519 Low Uso no válido de puerto LPC.
4616 520 Low Se cambió la hora del sistema.
4622 N/A Low La Autoridad de seguridad local cargó un paquete de seguridad.
4624 528,540 Low Se inició sesión correctamente en una cuenta.
4625 529-537,539 Low No se pudo iniciar sesión en una cuenta.
4634 538 Low Se cerró sesión en una cuenta.
4646 N/A Low Se inició el modo de prevención contra DoS de IKE.
4647 551 Low Cierre de sesión iniciada por el usuario.
4648 552 Low Se intentó iniciar sesión con credenciales explícitas.
4650 N/A Low Se estableció una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. No se usó la autenticación de certificado.
4651 N/A Low Se estableció una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. Se usó un certificado para la autenticación.
4652 N/A Low Error de negociación de modo principal de IPsec.
4653 N/A Low Error de negociación de modo principal de IPsec.
4654 N/A Low Error de negociación del modo rápido de IPsec.
4655 N/A Low Finalizó una asociación de seguridad de modo principal de IPsec.
4656 560 Low Se solicitó un identificador para un objeto.
4657 567 Low Se modificó un valor del Registro.
4658 562 Low Se cerró un identificador para un objeto.
4659 N/A Low Se solicitó un identificador para un objeto con intención de eliminarlo.
4660 564 Low Se eliminó un objeto.
4661 565 Low Se solicitó un identificador para un objeto.
4662 566 Low Se realizó una operación en un objeto
4663 567 Low se ha intentado obtener acceso a un objeto.
4664 N/A Low Se intentó crear un vínculo físico
4665 N/A Low Se intentó crear un contexto de cliente de aplicación
4666 N/A Low Una aplicación intentó una operación.
4667 N/A Low Se eliminó un contexto de cliente de aplicación
4668 N/A Low Se inicializó una aplicación
4670 N/A Low Se cambiaron los permisos de un objeto.
4671 N/A Low Una aplicación intentó tener acceso a un ordinal bloqueado a través de TBS.
4672 576 Low Privilegios especiales asignados al nuevo inicio de sesión.
4673 577 Low Se llamó a un servicio con privilegios.
4674 578 Low Se intentó una operación en un objeto con privilegios.
4688 592 Low Se ha creado un nuevo proceso.
4689 593 Low Un proceso ha terminado.
4690 594 Low Se intentó duplicar un identificador en un objeto.
4691 595 Low Se solicitó acceso indirecto a un objeto.
4694 N/A Low Se intentó proteger los datos protegidos que se pueden auditar
4695 N/A Low Se intentó desproteger los datos protegidos que se pueden auditar
4696 600 Low Se ha asignado un token principal a un proceso.
4697 601 Low Intente instalar un servicio.
4698 602 Low Se creó una tarea programada.
4699 602 Low Se eliminó una tarea programada.
4700 602 Low Se habilitó una tarea programada.
4701 602 Low Se deshabilitó una tarea programada.
4702 602 Low Se actualizó una tarea programada.
4704 608 Low Se asignó un derecho de usuario.
4705 609 Low Se quitó un derecho de usuario.
4707 611 Low Se quitó una confianza de un dominio
4709 N/A Low Se iniciaron los Servicios IPsec.
4710 N/A Low Se deshabilitaron los Servicios IPsec.
4711 N/A Low Puede contener cualquiera de los siguientes: PAStore Engine aplicó una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó una directiva IPsec de almacenamiento del Registro local en el equipo. Error del motor PAStore al aplicar una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar una directiva IPsec de almacenamiento del Registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Error del motor PAStore al cargar la directiva IPsec de almacenamiento de directorio en el equipo. El motor PAStore cargó la directiva IPsec de almacenamiento de directorio en el equipo. Error del motor PAStore al cargar la directiva IPsec de almacenamiento local en el equipo. PAStore Engine cargó la directiva IPsec de almacenamiento local en el equipo. PAStore Engine sondeó los cambios en la directiva IPsec activa y no ha detectado ninguno.
4712 N/A Low Los Servicios IPsec detectaron un error que puede ser importante.
4717 621 Low Se concedió acceso de seguridad de sistema a una cuenta
4718 622 Low Se quitó acceso de seguridad de sistema de una cuenta
4720 624 Low Se creó una cuenta de usuario.
4722 626 Low Se habilitó una cuenta de usuario.
4723 627 Low Se ha realizado un intento de cambiar la contraseña de una cuenta.
4725 629 Low Se deshabilitó una cuenta de usuario.
4726 630 Low Se eliminó una cuenta de usuario.
4728 632 Low Se agregó un miembro a un grupo global con seguridad habilitada.
4729 633 Low Se quitó un miembro de un grupo global con seguridad habilitada.
4730 634 Low Se eliminó un grupo global con seguridad habilitada.
4731 635 Low Se creó un grupo local con seguridad habilitada.
4732 636 Low Se agregó un miembro a un grupo local con seguridad habilitada.
4733 637 Low Se quitó un miembro de un grupo local con seguridad habilitada.
4734 638 Low Se eliminó un grupo local con seguridad habilitada.
4738 642 Low Se cambió una cuenta de usuario.
4740 644 Low Se bloqueó una cuenta de usuario.
4741 645 Low Se cambió una cuenta de equipo.
4742 646 Low Se cambió una cuenta de equipo.
4743 647 Low Se eliminó una cuenta de equipo
4744 648 Low Se creó un grupo local deshabilitado para seguridad
4745 649 Low Se cambió un grupo local deshabilitado para seguridad
4746 650 Low Se agregó un miembro a un grupo local deshabilitado para seguridad
4747 651 Low Se quitó un miembro de un grupo local deshabilitado para seguridad
4748 652 Low Se eliminó un grupo local con la seguridad deshabilitada.
4749 653 Low Se creó un grupo global con la seguridad deshabilitada.
4750 654 Low Se cambió un grupo global con la seguridad deshabilitada.
4751 655 Low Se agregó un miembro a un grupo global con la seguridad deshabilitada.
4752 656 Low Se quitó un miembro de un grupo global con la seguridad deshabilitada.
4753 657 Low Se eliminó un grupo global con la seguridad deshabilitada.
4756 660 Low Se agregó un miembro a un grupo universal con la seguridad habilitada.
4757 661 Low Se quitó un miembro de un grupo universal con la seguridad habilitada.
4758 662 Low Se eliminó un grupo universal con la seguridad habilitada.
4759 663 Low Se creó un grupo universal con la seguridad deshabilitada.
4760 664 Low Se cambió un grupo universal con la seguridad deshabilitada.
4761 665 Low Se agregó un miembro a un grupo universal con la seguridad deshabilitada.
4762 666 Low Se quitó un miembro de un grupo universal con la seguridad deshabilitada.
4767 671 Low Se desbloqueó una cuenta de usuario.
4768 672,676 Low Se solicitó un vale de autenticación (TGT) de Kerberos.
4769 673 Low Se solicitó un vale de servicio Kerberos.
4770 674 Low Se renovó un vale de servicio Kerberos.
4771 675 Low Error de autenticación previa de Kerberos.
4772 672 Low Error de solicitud de vale de autenticación de Kerberos.
4774 678 Low Se asignó una cuenta para inicio de sesión
4775 679 Low No se pudo asignar una cuenta para inicio de sesión
4776 680,681 Low El controlador de dominio intentó validar las credenciales para una cuenta
4777 N/A Low Error del controlador de dominio al validar las credenciales para una cuenta
4778 682 Low Se reconectó una sesión a una estación de ventana.
4779 683 Low Se desconectó una sesión de una estación de ventana.
4781 685 Low Se cambió el nombre de una cuenta.
4782 N/A Low Se accedió el hash de contraseña de una cuenta.
4783 667 Low Se creó un grupo de aplicaciones básicas
4784 N/A Low Se cambió un grupo de aplicaciones básicas
4785 689 Low Se agregó un miembro a un grupo de aplicaciones básicas
4786 690 Low Se quitó un miembro de un grupo de aplicaciones básicas
4787 691 Low Se agregó un no miembro a un grupo de aplicaciones básicas.
4788 692 Low Se quitó un no miembro de un grupo de aplicaciones básicas.
4789 693 Low Se eliminó un grupo de aplicaciones básicas
4790 694 Low Se creó un grupo de consultas LDAP
4793 N/A Low Se ha llamado a la API de comprobación de directiva de contraseñas
4800 N/A Low Se bloqueó la estación de trabajo.
4801 N/A Low Se desbloqueó la estación de trabajo.
4802 N/A Low Se invocó el protector de pantalla.
4803 N/A Low Se descartó el protector de pantalla.
4864 N/A Low Se detectó una colisión de espacio de nombres
4869 773 Low Servicios de servidor de certificados recibieron una solicitud de certificado reenviada.
4871 775 Low Servicios de servidor de certificados recibió una solicitud para publicar la lista de revocación de certificados (CRL).
4872 776 Low Servicios de servidor de certificados publicó la lista de revocación de certificados (CRL).
4873 777 Low Se cambió una extensión de solicitud de certificado.
4874 778 Low Se cambiaron uno o varios atributos de solicitud de certificado.
4875 779 Low Servicios de servidor de certificados recibió una solicitud para cerrar.
4876 780 Low La copia de seguridad de Servicios de servidor de certificados se ha iniciado.
4877 781 Low Se ha completado la copia de seguridad de Servicios de servidor certificados.
4878 782 Low Se inició la restauración de Servicios de servidor de certificados.
4879 783 Low Se ha completado la restauración de Servicios de servidor de certificados.
4880 784 Low Servicios de servidor de certificados iniciados.
4881 785 Low Se detuvo Servicios de servidor de certificados.
4883 787 Low Servicios de servidor de certificados recuperó una clave archivada.
4884 788 Low Servicios de servidor de certificados importó un certificado en su base de datos.
4886 790 Low Servicios de servidor de certificados recibió una solicitud de certificado.
4887 791 Low Servicios de servidor de certificados aprobó una solicitud de certificado y emitió un certificado.
4888 792 Low Servicios de servidor de certificados denegó una solicitud de certificado.
4889 793 Low Servicios de servidor de certificados estableció el estado de una solicitud de certificado en pendiente.
4891 795 Low Se cambió una entrada de configuración en Servicios de servidor de certificados.
4893 797 Low Servicios de servidor de certificados archivó una clave.
4894 798 Low Servicios de servidor de certificados importó y archivó una clave.
4895 799 Low Servicios de servidor de certificados publicó el certificado de CA en Servicios de dominio de Active Directory
4898 802 Low Servicios de servidor de certificados cargó una plantilla.
4902 N/A Low Se creó la tabla de directiva de auditoría por usuario
4904 N/A Low Se intentó registrar un origen de evento de seguridad
4905 N/A Low Se intentó anular el registro de un origen de evento de seguridad
4909 N/A Low Se cambió la configuración de directiva local para TBS.
4910 N/A Low Se cambió la configuración de directiva de grupo para TBS.
4928 N/A Low Se estableció un contexto de nomenclatura de origen de réplica de Active Directory
4929 N/A Low Se quitó un contexto de nomenclatura de origen de réplica de Active Directory
4930 N/A Low Se modificó un contexto de nomenclatura de origen de réplica de Active Directory
4931 N/A Low Se modificó un contexto de nomenclatura de destino de réplica de Active Directory
4932 N/A Low Comenzó la sincronización de una réplica de un contexto de nomenclatura de Active Directory
4933 N/A Low Finalizó la sincronización de una réplica de un contexto de nomenclatura de Active Directory
4934 N/A Low Se replicaron los atributos de un objeto de Active Directory
4935 N/A Low Empieza el error de replicación
4936 N/A Low Finaliza el error de replicación
4937 N/A Low Se quitó un objeto persistente de una réplica
4944 N/A Low La siguiente directiva estaba activa cuando se inició el Firewall de Windows.
4945 N/A Low Se mostró una regla al iniciarse el Firewall de Windows.
4946 N/A Low Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se agregó una regla.
4947 N/A Low Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se modificó una regla.
4948 N/A Low Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se eliminó una regla.
4949 N/A Low Los valores de configuración del Firewall de Windows se restauraron a los valores predeterminados.
4950 N/A Low Se cambió una configuración del Firewall de Windows.
4951 N/A Low Se ha omitido una regla porque el Firewall de Windows no reconoció su número de versión principal.
4952 N/A Low Se han omitido partes de una regla porque el Firewall de Windows no reconoció su número de versión secundaria. Se aplicarán las demás partes de la regla.
4953 N/A Low Firewall de Windows omitió una regla porque no la pudo analizar.
4954 N/A Low La configuración de directiva de grupo de Firewall de Windows ha cambiado. Se aplicó la nueva configuración.
4956 N/A Low Firewall de Windows ha cambiado el perfil activo.
4957 N/A Low Firewall de Windows no aplicó la siguiente regla.
4958 N/A Low Firewall de Windows no aplicaba la siguiente regla porque la regla hacía referencia a elementos no configurados en este equipo.
4979 N/A Low Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec.
4980 N/A Low Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec.
4981 N/A Low Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec.
4982 N/A Low Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec.
4985 N/A Low Se cambió el estado de una transacción
5024 N/A Low El servicio de Firewall de Windows se ha iniciado correctamente.
5025 N/A Low El servicio de Firewall de Windows se ha detenido.
5031 N/A Low El servicio Firewall de Windows impidió que una aplicación aceptara conexiones entrantes en la red
5032 N/A Low Firewall de Windows no pudo notificar al usuario que impidió que una aplicación aceptara conexiones entrantes en la red.
5033 N/A Low El controlador de Firewall de Windows se inició correctamente.
5034 N/A Low Se detuvo el controlador de Firewall de Windows.
5039 N/A Low Se virtualizó una clave del Registro.
5040 N/A Low Se realizó un cambio en la configuración de IPsec. Se agregó un conjunto de autenticación.
5041 N/A Low Se realizó un cambio en la configuración de IPsec. Se modificó un conjunto de autenticación.
5042 N/A Low Se realizó un cambio en la configuración de IPsec. Se eliminó un conjunto de autenticación.
5043 N/A Low Se realizó un cambio en la configuración de IPsec. Se agregó una regla de seguridad de conexión.
5044 N/A Low Se realizó un cambio en la configuración de IPsec. Se modificó una regla de seguridad de conexión.
5045 N/A Low Se realizó un cambio en la configuración de IPsec. Se eliminó una regla de seguridad de conexión.
5046 N/A Low Se realizó un cambio en la configuración de IPsec. Se agregó un conjunto criptográfico.
5047 N/A Low Se realizó un cambio en la configuración de IPsec. Se ha modificado un conjunto criptográfico.
5048 N/A Low Se realizó un cambio en la configuración de IPsec. Se ha eliminado un conjunto criptográfico.
5050 N/A Low Intento de deshabilitar mediante programación el Firewall de Windows mediante una llamada a InetFwProfile.FirewallEnabled(False).
5051 N/A Low Se virtualizó un archivo
5056 N/A Low Se realizó una prueba criptográfica automática.
5057 N/A Low Error de operación primitiva criptográfica.
5058 N/A Low Operación de archivo de clave.
5059 N/A Low Operación de migración de clave.
5060 N/A Low Error en la operación de comprobación.
5061 N/A Low Cryptographic operation.
5062 N/A Low Se realizó una prueba criptográfica automática en modo kernel.
5063 N/A Low Se intentó una operación de proveedor criptográfico.
5064 N/A Low Se intentó una operación de contexto criptográfico.
5065 N/A Low Se intentó modificar un contexto criptográfico.
5066 N/A Low Se intentó una operación de función criptográfica.
5067 N/A Low Se intentó modificar una función criptográfica.
5068 N/A Low Se intentó una operación de proveedor de función criptográfica.
5069 N/A Low Se intentó una operación de propiedad de función criptográfica.
5070 N/A Low Se intentó modificar una propiedad de función criptográfica.
5125 N/A Low Se envió una solicitud al servicio de respondedor OCSP.
5126 N/A Low El servicio de respondedor OCSP actualizó automáticamente el certificado de firma.
5127 N/A Low El proveedor de revocación de OCSP actualizó correctamente la información de revocación.
5136 566 Low Se modificó un objeto de servicio de directorio
5137 566 Low Se creó un objeto de servicio de directorio
5138 N/A Low Se recuperó un objeto de servicio de directorio
5139 N/A Low Se movió un objeto de servicio de directorio
5140 N/A Low Se tuvo acceso a un objeto de recurso compartido de red
5141 N/A Low Se eliminó un objeto de servicio de directorio
5152 N/A Low La Plataforma de filtrado de Windows bloqueó un paquete
5153 N/A Low Un filtro más restrictivo de la Plataforma de filtrado de Windows bloqueó un paquete
5154 N/A Low La Plataforma de filtrado de Windows permitió que una aplicación o un servicio escuche conexiones entrantes en un puerto
5155 N/A Low La Plataforma de filtrado de Windows bloqueó una aplicación o un servicio para que no escuchara conexiones entrantes en un puerto
5156 N/A Low La Plataforma de filtrado de Windows permitió una conexión
5157 N/A Low La Plataforma de filtrado de Windows bloqueó una conexión
5158 N/A Low La Plataforma de filtrado de Windows permitió un enlace con un puerto local
5159 N/A Low La Plataforma de filtrado de Windows bloqueó un enlace con un puerto local
5378 N/A Low Una directiva no permitió la delegación de credenciales solicitada.
5440 N/A Low La siguiente llamada estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5441 N/A Low El siguiente filtro estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5442 N/A Low El siguiente proveedor estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5443 N/A Low El siguiente contexto de proveedor estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5444 N/A Low El siguiente nivel secundario estaba presente cuando se inició el motor de filtrado base de la plataforma de filtrado de Windows.
5446 N/A Low Se cambió una llamada de la Plataforma de filtrado de Windows.
5447 N/A Low Se cambió un filtro de la Plataforma de filtrado de Windows.
5448 N/A Low Se cambió un proveedor de la Plataforma de filtrado de Windows.
5449 N/A Low Se cambió un contexto de proveedor de la Plataforma de filtrado de Windows.
5450 N/A Low Se ha cambiado el nivel secundario de la plataforma de filtrado de Windows.
5451 N/A Low Se estableció una asociación de seguridad de modo rápido de IPsec.
5452 N/A Low Finalizó una asociación de seguridad de modo rápido de IPsec.
5456 N/A Low El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457 N/A Low Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458 N/A Low El motor PAStore aplicó una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5459 N/A Low Error del motor PAStore al aplicar una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5460 N/A Low El motor PAStore aplicó una directiva IPsec de almacenamiento del Registro local en el equipo.
5461 N/A Low Error del motor PAStore al aplicar una directiva IPsec de almacenamiento del Registro local en el equipo.
5462 N/A Low Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Usa el complemento Monitor de seguridad IP para diagnosticar el problema.
5463 N/A Low El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio.
5464 N/A Low El motor PAStore sondeó en busca de cambios en la directiva IPsec activa, detectó cambios y los aplicó a los servicios IPsec.
5465 N/A Low El motor PAStore recibió un control para la recarga forzada de la directiva IPsec y procesó el control correctamente.
5466 N/A Low El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que no se podía establecer contacto con Active Directory y usará la copia almacenada en caché de la directiva IPsec de Active Directory en su lugar. No se pudieron aplicar los cambios realizados en la directiva IPsec de Active Directory desde el último sondeo.
5467 N/A Low El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que se podía establecer contacto con Active Directory y no encontró ningún cambio en la directiva Ya no se usa la copia almacenada en caché de la directiva IPsec de Active Directory.
5468 N/A Low El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que se podía establecer contacto con Active Directory, encontró cambios en la directiva y los aplicó. Ya no se usa la copia almacenada en caché de la directiva IPsec de Active Directory.
5471 N/A Low El motor PAStore cargó la directiva IPsec de almacenamiento local en el equipo.
5472 N/A Low Error del motor PAStore al cargar la directiva IPsec de almacenamiento local en el equipo.
5473 N/A Low El motor PAStore cargó la directiva IPsec de almacenamiento de directorio en el equipo.
5474 N/A Low Error del motor PAStore al cargar la directiva IPsec de almacenamiento de directorio en el equipo.
5477 N/A Low Error del motor PAStore al agregar el filtro de modo rápido.
5479 N/A Low Los servicios IPsec se cerraron correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad.
5632 N/A Low Se realizó una solicitud de autenticación en una red inalámbrica.
5633 N/A Low Se realizó una solicitud de autenticación en una red con cable.
5712 N/A Low Se intentó una llamada a procedimiento remoto (RPC).
5888 N/A Low Se modificó un objeto del catálogo COM+.
5889 N/A Low Se eliminó un objeto del catálogo COM+.
5890 N/A Low Se agregó un objeto al catálogo COM +.
6008 N/A Low El cierre del sistema anterior fue inesperado.
6144 N/A Low Se ha aplicado correctamente la directiva de seguridad en los objetos de directiva de grupo.
6272 N/A Low El Servidor de directivas de redes concedió acceso a un usuario.
N/A 561 Low Se solicitó un identificador para un objeto.
N/A 563 Low Objeto abierto para eliminar.
N/A 625 Low Se ha cambiado el tipo de cuenta de usuario.
N/A 613 Low Se inició el agente de directivas de IPsec.
N/A 614 Low Agente de directiva IPsec deshabilitado.
N/A 615 Low Agente de directivas de IPsec.
N/A 616 Low El agente de directivas de IPsec encontró un posible error grave.
24577 N/A Low Cifrado del volumen iniciado.
24578 N/A Low Cifrado del volumen detenido.
24579 N/A Low Cifrado del volumen completado.
24580 N/A Low Descifrado del volumen iniciado.
24581 N/A Low Descifrado del volumen detenido.
24582 N/A Low Descifrado del volumen completado.
24583 N/A Low Subproceso de trabajo de conversión para el volumen iniciado.
24584 N/A Low Subproceso de trabajo de conversión para el volumen detenido temporalmente.
24588 N/A Low La operación de conversión en el volumen %2 encontró un error de sector dañado. Valide los datos de este volumen.
24595 N/A Low El volumen %2 contiene clústeres dañados. Estos clústeres se omitirán durante la conversión.
24621 N/A Low Comprobación de estado inicial: transacción de conversión de volumen gradual en %2.
5049 N/A Low Se eliminó una asociación de seguridad de IPsec.
5478 N/A Low Los servicios IPsec se iniciaron correctamente.

Note

Consulte eventos de auditoría de seguridad de Windows para obtener una lista de identificadores de eventos de seguridad y sus significados.

Ejecute wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true para obtener una lista detallada de todos los identificadores de eventos de seguridad.

See also

Para más información sobre los identificadores de eventos de seguridad de Windows y sus significados, consulte el artículo de Soporte técnico de Microsoft Configuración básica de la directiva de auditoría de seguridad. También puede descargar eventos de auditoría de seguridad de Windows, que proporcionan información detallada de eventos para los sistemas operativos a los que se hace referencia en formato de hoja de cálculo.