Anexo L: eventos para supervisar
En la tabla siguiente se enumeran los eventos que debe supervisar en su entorno, según las recomendaciones proporcionadas en Supervisión de Active Directory en busca de indicios de riesgo. En la tabla siguiente, la columna "Identificador de evento de Windows actual" se muestra el identificador de evento implementado en versiones de Windows y Windows Server que actualmente están en soporte estándar.
La columna "Identificador de evento de Windows heredado" muestra el identificador de evento correspondiente en versiones heredadas de Windows, como equipos cliente que ejecutan Windows XP o versiones anteriores y servidores que ejecutan Windows Server 2003 o versiones anteriores. La columna "Importancia potencial" identifica si el evento debe considerarse de importancia crítica baja, media o alta en la detección de ataques, y la columna "Resumen de eventos" proporciona una breve descripción del evento.
Una importancia potencial alta significa que la ocurrencia del evento se debe investigar. La importancia potencial media o baja significan que estos eventos solo deben investigarse si se producen de forma inesperada o en un número que supere significativamente la línea de base esperada en un periodo de tiempo medido. Todas las organizaciones deben probar estas recomendaciones en sus entornos antes de crear las alertas que requieren respuestas investigación obligatorias. Cada entorno es diferente, y algunos de los eventos con una importancia potencial alta se pueden producir a causa de otros eventos inofensivos.
| Id. de evento de Windows actual | Identificador de evento de Windows heredado | Importancia crítica potencial | Resumen del evento |
|---|---|---|---|
| 4618 | N/D | Alto | Se ha producido un patrón de evento de seguridad supervisado. |
| 4649 | N/D | Alto | Se detectó un ataque de reproducción. Puede ser un falso positivo inofensivo debido a un error de configuración. |
| 4719 | 612 | Alto | Se cambió la directiva de auditoría del sistema |
| 4765 | N/D | Alto | Se agregó el historial de SID a una cuenta. |
| 4766 | N/D | Alto | Se produjo un error al intentar agregar el historial de SID a una cuenta. |
| 4794 | N/D | Alto | Se intentó establecer el Modo de restauración de servicios de directorio. |
| 4897 | 801 | Alto | Separación de roles habilitada |
| 4964 | N/D | Alto | Se han asignado Grupos especiales un nuevo inicio de sesión. |
| 5124 | N/D | Alto | Se actualizó una configuración de seguridad en el servicio de respondedor OCSP. |
| N/D | 550 | Media a alta | Posible ataque por denegación de servicio (DoS). |
| 1102 | 517 | Media a alta | Se borró el registro de auditoría. |
| 4621 | N/D | Media | El administrador recuperó el sistema del error CrashOnAuditFail. Los usuarios que no sean administradores podrán iniciar sesión ahora. Es posible que no se haya registrado alguna actividad de auditoría. |
| 4675 | N/D | Media | Se filtraron SID. |
| 4692 | N/D | Media | Se intentó hacer una copia de seguridad de la clave maestra de protección de datos |
| 4693 | N/D | Media | Se intentó recuperar la clave maestra de protección de datos |
| 4706 | 610 | Media | Se creó una nueva confianza para un dominio |
| 4713 | 617 | Media | Se cambió la directiva Kerberos |
| 4714 | 618 | Media | Se cambió la directiva de recuperación de datos cifrados |
| 4715 | N/D | Media | Se cambió la directiva de auditoría (SACL) en un objeto |
| 4716 | 620 | Media | Se modificó la información de dominio de confianza |
| 4724 | 628 | Media | Se ha realizado un intento de restablecer la contraseña de una cuenta. |
| 4727 | 631 | Media | Se creó un grupo global con seguridad habilitada. |
| 4735 | 639 | Media | Se cambió un grupo local con seguridad habilitada. |
| 4737 | 641 | Media | Se cambió un grupo global con seguridad habilitada. |
| 4739 | 643 | Media | Se cambió la directiva de dominio |
| 4754 | 658 | Media | Se creó un grupo universal con la seguridad habilitada. |
| 4755 | 659 | Media | Se cambió un grupo universal con la seguridad habilitada. |
| 4764 | 667 | Media | Se eliminó un grupo con la seguridad deshabilitada. |
| 4764 | 668 | Media | Se cambió el tipo de un grupo. |
| 4780 | 684 | Media | Se estableció la ACL en cuentas que son miembros de grupos de administradores. |
| 4816 | N/D | Media | RPC detectó una infracción de integridad al descifrar un mensaje entrante. |
| 4865 | N/D | Media | Se agregó una entrada de información de bosque de confianza |
| 4866 | N/D | Media | Se eliminó una entrada de información de bosque de confianza |
| 4867 | N/D | Media | Se modificó una entrada de información de bosque de confianza |
| 4868 | 772 | Media | El Administrador de certificados ha denegado una solicitud de certificado pendiente. |
| 4870 | 774 | Media | Servicios de servidor de certificados revocó un certificado. |
| 4882 | 786 | Media | Se cambiaron los permisos de seguridad para Servicios de servidor de certificados. |
| 4885 | 789 | Media | Se cambió el filtro de auditoría para Servicios de servidor de certificados. |
| 4890 | 794 | Media | Se cambió la configuración del administrador de certificados para Servicios de servidor de certificados. |
| 4892 | 796 | Media | Se cambió una propiedad de Servicios de servidor de certificados.% |
| 4896 | 800 | Media | Una o más filas se han eliminado de la base de datos de certificados. |
| 4906 | N/D | Media | Se cambió el valor de CrashOnAuditFail |
| 4907 | N/D | Media | Se cambió la configuración de auditoría del objeto |
| 4908 | N/D | Media | Se modificó la tabla de inicio de sesión de grupos especiales |
| 4912 | 807 | Media | Se cambió la directiva de auditoría por usuario |
| 4960 | N/D | Media | IPsec descartó un paquete entrante con un error en la comprobación de integridad. Si el problema continúa, podría indicar un problema de red o que se están modificando los paquetes en tránsito a este equipo. Comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. |
| 4961 | N/D | Media | IPsec descartó un paquete entrante con un error en la comprobación de reproducción. Si el problema continúa, podría indicar un ataque de reproducción contra este equipo. |
| 4962 | N/D | Media | IPsec descartó un paquete entrante con un error en la comprobación de reproducción. El paquete entrante tenía un número de secuencia demasiado bajo para asegurarse de que no fuera una reproducción. |
| 4963 | N/D | Media | IPsec descartó un paquete de texto no cifrado entrante que debería estar protegido. Esto suele deberse a que el equipo remoto cambió su directiva IPsec sin informar a este equipo. También podría ser un intento de ataque de suplantación. |
| 4965 | N/D | Media | IPsec recibió un paquete de un equipo remoto con un Índice de parámetro de seguridad (SPI) incorrecto. Esto suele deberse a hardware que funciona incorrectamente y que está dañando los paquetes. Si estos errores continúan, comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, se pueden omitir estos eventos. |
| 4976 | N/D | Media | Durante la negociación de modo principal, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación. |
| 4977 | N/D | Media | Durante la negociación de modo rápido, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación. |
| 4978 | N/D | Media | Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación. |
| 4983 | N/D | Media | Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente. |
| 4984 | N/D | Media | Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente. |
| 5027 | N/D | Media | El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad del almacenamiento local. El servicio continuará aplicando la directiva actual. |
| 5028 | N/D | Media | El servicio Firewall de Windows no pudo analizar la nueva directiva de seguridad. El servicio continuará con la directiva aplicada actualmente. |
| 5029 | N/D | Media | El servicio Firewall de Windows no pudo inicializar el controlador. El servicio continuará aplicando la directiva actual. |
| 5030 | N/D | Media | No se pudo iniciar el servicio Firewall de Windows. |
| 5035 | N/D | Media | No se pudo iniciar el controlador de Firewall de Windows. |
| 5037 | N/D | Media | El controlador de Firewall de Windows detectó un error en tiempo de ejecución crítico. Finalizando. |
| 5038 | N/D | Media | Integridad de código determinó que el hash de imagen de un archivo no es válido. El archivo pudo resultar dañado por una modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco. |
| 5120 | N/D | Media | Se inició el servicio de respondedor OCSP. |
| 5121 | N/D | Media | Se detuvo el servicio de respondedor OCSP. |
| 5122 | N/D | Media | Se ha cambiado una entrada de configuración en el servicio de respondedor OCSP. |
| 5123 | N/D | Media | Se ha cambiado una entrada de configuración en el servicio de respondedor OCSP. |
| 5376 | N/D | Media | Se hizo una copia de seguridad de las credenciales del Administrador de credenciales. |
| 5377 | N/D | Media | Se restauraron las credenciales del Administrador de credenciales desde una copia de seguridad. |
| 5453 | N/D | Media | Error de negociación de IPsec con un equipo remoto. No se inició el servicio de Módulos de creación de claves de IPsec para IKE y AuthIP (IKEEXT). |
| 5480 | N/D | Media | Error de los servicios IPsec al obtener la lista completa de interfaces de red del equipo. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema. |
| 5483 | N/D | Media | Error de los servicios IPsec al inicializar el servidor RPC. No se pudieron iniciar los servicios IPsec. |
| 5484 | N/D | Media | Los servicios IPsec experimentaron un error crítico y se cerraron. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad. |
| 5485 | N/D | Media | Error de los servicios IPsec al procesar algunos filtros IPsec en un evento de Plug and Play para interfaces de red. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema. |
| 5827 | N/D | Media | El servicio Netlogon denegó una conexión de un canal seguro de Netlogon vulnerable desde una cuenta de máquina. |
| 5828 | N/D | Media | El servicio Netlogon denegó una conexión de un canal seguro de Netlogon vulnerable mediante una cuenta de confianza. |
| 6145 | N/D | Media | Se produjo uno o más errores durante el procesamiento de la directiva de seguridad de los objetos de directiva de grupo. |
| 6273 | N/D | Media | El Servidor de directivas de redes denegó el acceso a un usuario. |
| 6274 | N/D | Media | El Servidor de directivas de redes rechazó la solicitud de un usuario. |
| 6275 | N/D | Media | El Servidor de directivas de redes rechazó la solicitud de cuentas de un usuario. |
| 6276 | N/D | Media | El Servidor de directivas de redes puso en cuarentena un usuario. |
| 6277 | N/D | Media | El Servidor de directivas de redes concedió acceso a un usuario, pero lo sometió a un período de prueba porque el host no cumplía la directiva de mantenimiento definida. |
| 6278 | N/D | Media | El Servidor de directivas de redes concedió acceso total a un usuario porque el host cumplía la directiva de mantenimiento definida. |
| 6279 | N/D | Media | El Servidor de directivas de redes bloqueó la cuenta de usuario debido a varios intentos de autenticación erróneos. |
| 6280 | N/D | Media | El Servidor de directivas de redes desbloqueó la cuenta de usuario. |
| - | 640 | Media | Cambió la base de datos de cuentas generales. |
| - | 619 | Media | Cambió la directiva de calidad de servicio. |
| 24586 | N/D | Media | Se produjo un error al convertir el volumen. |
| 24592 | N/D | Media | Error al intentar reiniciar automáticamente la conversión en el volumen %2. |
| 24593 | N/D | Media | Escritura de metadatos: el volumen %2 devuelve errores al intentar modificar los metadatos. Si los errores continúan, descifre el volumen. |
| 24594 | N/D | Media | Recompilación de metadatos: error al intentar escribir una copia de los metadatos en el volumen %2; puede aparecer como daños en el disco. Si los errores continúan, descifre el volumen. |
| 4608 | 512 | Bajo | Windows se está iniciando. |
| 4609 | 513 | Bajo | Windows se está apagando. |
| 4610 | 514 | Bajo | La Autoridad de seguridad local ha cargado un paquete de autenticación. |
| 4611 | 515 | Bajo | Se registró un proceso de inicio de sesión de confianza con la Autoridad de seguridad local. |
| 4612 | 516 | Bajo | Los recursos internos asignados para la cola de mensajes de auditoría se han agotado, provocando la pérdida de algunas auditorías. |
| 4614 | 518 | Bajo | El Administrador de cuentas de seguridad cargó un paquete de notificación. |
| 4615 | 519 | Bajo | Uso no válido de puerto LPC. |
| 4616 | 520 | Bajo | Se cambió la hora del sistema. |
| 4622 | N/D | Bajo | La Autoridad de seguridad local cargó un paquete de seguridad. |
| 4624 | 528,540 | Bajo | Se inició sesión correctamente en una cuenta. |
| 4625 | 529-537,539 | Bajo | No se pudo iniciar sesión en una cuenta. |
| 4634 | 538 | Bajo | Se cerró sesión en una cuenta. |
| 4646 | N/D | Bajo | Se inició el modo de prevención contra DoS de IKE. |
| 4647 | 551 | Bajo | Cierre de sesión iniciada por el usuario. |
| 4648 | 552 | Bajo | Se intentó iniciar sesión con credenciales explícitas. |
| 4650 | N/D | Bajo | Se estableció una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. No se usó la autenticación de certificado. |
| 4651 | N/D | Bajo | Se estableció una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. Se usó un certificado para la autenticación. |
| 4652 | N/D | Bajo | Error de negociación de modo principal de IPsec. |
| 4653 | N/D | Bajo | Error de negociación de modo principal de IPsec. |
| 4654 | N/D | Bajo | Error de negociación del modo rápido de IPsec. |
| 4655 | N/D | Bajo | Finalizó una asociación de seguridad de modo principal de IPsec. |
| 4656 | 560 | Bajo | Se solicitó un identificador para un objeto. |
| 4657 | 567 | Bajo | Se modificó un valor del Registro. |
| 4658 | 562 | Bajo | Se cerró un identificador para un objeto. |
| 4659 | N/D | Bajo | Se solicitó un identificador para un objeto con intención de eliminarlo. |
| 4660 | 564 | Bajo | Se eliminó un objeto. |
| 4661 | 565 | Bajo | Se solicitó un identificador para un objeto. |
| 4662 | 566 | Bajo | Se realizó una operación en un objeto |
| 4663 | 567 | Bajo | se ha intentado obtener acceso a un objeto. |
| 4664 | N/D | Bajo | Se intentó crear un vínculo físico |
| 4665 | N/D | Bajo | Se intentó crear un contexto de cliente de aplicación |
| 4666 | N/D | Bajo | Una aplicación intentó una operación |
| 4667 | N/D | Bajo | Se eliminó un contexto de cliente de aplicación |
| 4668 | N/D | Bajo | Se inicializó una aplicación |
| 4670 | N/D | Bajo | Se cambiaron los permisos de un objeto. |
| 4671 | N/D | Bajo | Una aplicación intentó tener acceso a un ordinal bloqueado a través de TBS. |
| 4672 | 576 | Bajo | Privilegios especiales asignados al nuevo inicio de sesión. |
| 4673 | 577 | Bajo | Se llamó a un servicio con privilegios. |
| 4674 | 578 | Bajo | Se intentó una operación en un objeto con privilegios. |
| 4688 | 592 | Bajo | Se ha creado un nuevo proceso. |
| 4689 | 593 | Bajo | Un proceso ha terminado. |
| 4690 | 594 | Bajo | Se intentó duplicar un identificador en un objeto. |
| 4691 | 595 | Bajo | Se solicitó acceso indirecto a un objeto. |
| 4694 | N/D | Bajo | Se intentó proteger los datos protegidos que se pueden auditar |
| 4695 | N/D | Bajo | Se intentó desproteger los datos protegidos que se pueden auditar |
| 4696 | 600 | Bajo | Se ha asignado un token principal a un proceso. |
| 4697 | 601 | Bajo | Se intentó instalar un servicio. |
| 4698 | 602 | Bajo | Se creó una tarea programada. |
| 4699 | 602 | Bajo | Se eliminó una tarea programada. |
| 4700 | 602 | Bajo | Se habilitó una tarea programada. |
| 4701 | 602 | Bajo | Se deshabilitó una tarea programada. |
| 4702 | 602 | Bajo | Se actualizó una tarea programada. |
| 4704 | 608 | Bajo | Se asignó un derecho de usuario. |
| 4705 | 609 | Bajo | Se quitó un derecho de usuario. |
| 4707 | 611 | Bajo | Se quitó una confianza de un dominio |
| 4709 | N/D | Bajo | Se iniciaron los Servicios IPsec. |
| 4710 | N/D | Bajo | Se deshabilitaron los Servicios IPsec. |
| 4711 | N/D | Bajo | Puede contener cualquiera de los siguientes: PAStore Engine aplicó una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó una directiva IPsec de almacenamiento del Registro local en el equipo. Error del motor PAStore al aplicar una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar una directiva IPsec de almacenamiento del Registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Error del motor PAStore al cargar la directiva IPsec de almacenamiento de directorio en el equipo. El motor PAStore cargó la directiva IPsec de almacenamiento de directorio en el equipo. Error del motor PAStore al cargar la directiva IPsec de almacenamiento local en el equipo. PAStore Engine cargó la directiva IPsec de almacenamiento local en el equipo. PAStore Engine sondeó los cambios en la directiva IPsec activa y no ha detectado ninguno. |
| 4712 | N/D | Bajo | Los Servicios IPsec detectaron un error que puede ser importante. |
| 4717 | 621 | Bajo | Se concedió acceso de seguridad de sistema a una cuenta |
| 4718 | 622 | Bajo | Se quitó acceso de seguridad de sistema de una cuenta |
| 4720 | 624 | Bajo | Se creó una cuenta de usuario. |
| 4722 | 626 | Bajo | Se habilitó una cuenta de usuario. |
| 4723 | 627 | Bajo | Se ha realizado un intento de cambiar la contraseña de una cuenta. |
| 4725 | 629 | Bajo | Se deshabilitó una cuenta de usuario. |
| 4726 | 630 | Bajo | Se eliminó una cuenta de usuario. |
| 4728 | 632 | Bajo | Se agregó un miembro a un grupo global con seguridad habilitada. |
| 4729 | 633 | Bajo | Se quitó un miembro de un grupo global con seguridad habilitada. |
| 4730 | 634 | Bajo | Se eliminó un grupo global con seguridad habilitada. |
| 4731 | 635 | Bajo | Se creó un grupo local con seguridad habilitada. |
| 4732 | 636 | Bajo | Se agregó un miembro a un grupo local con seguridad habilitada. |
| 4733 | 637 | Bajo | Se quitó un miembro de un grupo local con seguridad habilitada. |
| 4734 | 638 | Bajo | Se eliminó un grupo local con seguridad habilitada. |
| 4738 | 642 | Bajo | Se cambió una cuenta de usuario. |
| 4740 | 644 | Bajo | Se bloqueó una cuenta de usuario. |
| 4741 | 645 | Bajo | Se cambió una cuenta de equipo. |
| 4742 | 646 | Bajo | Se cambió una cuenta de equipo. |
| 4743 | 647 | Bajo | Se eliminó una cuenta de equipo |
| 4744 | 648 | Bajo | Se creó un grupo local deshabilitado para seguridad |
| 4745 | 649 | Bajo | Se cambió un grupo local deshabilitado para seguridad |
| 4746 | 650 | Bajo | Se agregó un miembro a un grupo local deshabilitado para seguridad |
| 4747 | 651 | Bajo | Se quitó un miembro de un grupo local deshabilitado para seguridad |
| 4748 | 652 | Bajo | Se eliminó un grupo local con la seguridad deshabilitada. |
| 4749 | 653 | Bajo | Se creó un grupo global con la seguridad deshabilitada. |
| 4750 | 654 | Bajo | Se cambió un grupo global con la seguridad deshabilitada. |
| 4751 | 655 | Bajo | Se agregó un miembro a un grupo global con la seguridad deshabilitada. |
| 4752 | 656 | Bajo | Se quitó un miembro de un grupo global con la seguridad deshabilitada. |
| 4753 | 657 | Bajo | Se eliminó un grupo global con la seguridad deshabilitada. |
| 4756 | 660 | Bajo | Se agregó un miembro a un grupo universal con la seguridad habilitada. |
| 4757 | 661 | Bajo | Se quitó un miembro de un grupo universal con la seguridad habilitada. |
| 4758 | 662 | Bajo | Se eliminó un grupo universal con la seguridad habilitada. |
| 4759 | 663 | Bajo | Se creó un grupo universal con la seguridad deshabilitada. |
| 4760 | 664 | Bajo | Se cambió un grupo universal con la seguridad deshabilitada. |
| 4761 | 665 | Bajo | Se agregó un miembro a un grupo universal con la seguridad deshabilitada. |
| 4762 | 666 | Bajo | Se quitó un miembro de un grupo universal con la seguridad deshabilitada. |
| 4767 | 671 | Bajo | Se desbloqueó una cuenta de usuario. |
| 4768 | 672,676 | Bajo | Se solicitó un vale de autenticación (TGT) de Kerberos. |
| 4769 | 673 | Bajo | Se solicitó un vale de servicio Kerberos. |
| 4770 | 674 | Bajo | Se renovó un vale de servicio Kerberos. |
| 4771 | 675 | Bajo | Error de autenticación previa de Kerberos. |
| 4772 | 672 | Bajo | Error de solicitud de vale de autenticación de Kerberos. |
| 4774 | 678 | Bajo | Se asignó una cuenta para inicio de sesión |
| 4775 | 679 | Bajo | No se pudo asignar una cuenta para inicio de sesión |
| 4776 | 680,681 | Bajo | El controlador de dominio intentó validar las credenciales para una cuenta |
| 4777 | N/D | Bajo | Error del controlador de dominio al validar las credenciales para una cuenta |
| 4778 | 682 | Bajo | Se reconectó una sesión a una estación de ventana. |
| 4779 | 683 | Bajo | Se desconectó una sesión de una estación de ventana. |
| 4781 | 685 | Bajo | Se cambió el nombre de una cuenta: |
| 4782 | N/D | Bajo | Se accedió el hash de contraseña de una cuenta. |
| 4783 | 667 | Bajo | Se creó un grupo de aplicaciones básicas |
| 4784 | N/D | Bajo | Se cambió un grupo de aplicaciones básicas |
| 4785 | 689 | Bajo | Se agregó un miembro a un grupo de aplicaciones básicas |
| 4786 | 690 | Bajo | Se quitó un miembro de un grupo de aplicaciones básicas |
| 4787 | 691 | Bajo | Se agregó un no miembro a un grupo de aplicaciones básicas. |
| 4788 | 692 | Bajo | Se quitó un no miembro de un grupo de aplicaciones básicas. |
| 4789 | 693 | Bajo | Se eliminó un grupo de aplicaciones básicas |
| 4790 | 694 | Bajo | Se creó un grupo de consultas LDAP |
| 4793 | N/D | Bajo | Se ha llamado a la API de comprobación de directiva de contraseñas |
| 4800 | N/D | Bajo | Se bloqueó la estación de trabajo. |
| 4801 | N/D | Bajo | Se desbloqueó la estación de trabajo. |
| 4802 | N/D | Bajo | Se invocó el protector de pantalla. |
| 4803 | N/D | Bajo | Se descartó el protector de pantalla. |
| 4864 | N/D | Bajo | Se detectó una colisión de espacio de nombres |
| 4869 | 773 | Bajo | Servicios de servidor de certificados recibieron una solicitud de certificado reenviada. |
| 4871 | 775 | Bajo | Servicios de servidor de certificados recibió una solicitud para publicar la lista de revocación de certificados (CRL). |
| 4872 | 776 | Bajo | Servicios de servidor de certificados publicó la lista de revocación de certificados (CRL). |
| 4873 | 777 | Bajo | Se cambió una extensión de solicitud de certificado. |
| 4874 | 778 | Bajo | Se cambiaron uno o varios atributos de solicitud de certificado. |
| 4875 | 779 | Bajo | Servicios de servidor de certificados recibió una solicitud para cerrar. |
| 4876 | 780 | Bajo | La copia de seguridad de Servicios de servidor de certificados se ha iniciado. |
| 4877 | 781 | Bajo | Se ha completado la copia de seguridad de Servicios de servidor certificados. |
| 4878 | 782 | Bajo | Se inició la restauración de Servicios de servidor de certificados. |
| 4879 | 783 | Bajo | Se ha completado la restauración de Servicios de servidor de certificados. |
| 4880 | 784 | Bajo | Servicios de servidor de certificados iniciados. |
| 4881 | 785 | Bajo | Se detuvo Servicios de servidor de certificados. |
| 4883 | 787 | Bajo | Servicios de servidor de certificados recuperó una clave archivada. |
| 4884 | 788 | Bajo | Servicios de servidor de certificados importó un certificado en su base de datos. |
| 4886 | 790 | Bajo | Servicios de servidor de certificados recibió una solicitud de certificado. |
| 4887 | 791 | Bajo | Servicios de servidor de certificados aprobó una solicitud de certificado y emitió un certificado. |
| 4888 | 792 | Bajo | Servicios de servidor de certificados denegó una solicitud de certificado. |
| 4889 | 793 | Bajo | Servicios de servidor de certificados estableció el estado de una solicitud de certificado en pendiente. |
| 4891 | 795 | Bajo | Se cambió una entrada de configuración en Servicios de servidor de certificados. |
| 4893 | 797 | Bajo | Servicios de servidor de certificados archivó una clave. |
| 4894 | 798 | Bajo | Servicios de servidor de certificados importó y archivó una clave. |
| 4895 | 799 | Bajo | Servicios de servidor de certificados publicó el certificado de CA en Servicios de dominio de Active Directory |
| 4898 | 802 | Bajo | Servicios de servidor de certificados cargó una plantilla. |
| 4902 | N/D | Bajo | Se creó la tabla de directiva de auditoría por usuario |
| 4904 | N/D | Bajo | Se intentó registrar un origen de evento de seguridad |
| 4905 | N/D | Bajo | Se intentó anular el registro de un origen de evento de seguridad |
| 4909 | N/D | Bajo | Se cambió la configuración de directiva local para TBS. |
| 4910 | N/D | Bajo | Se cambió la configuración de directiva de grupo para TBS. |
| 4928 | N/D | Bajo | Se estableció un contexto de nomenclatura de origen de réplica de Active Directory |
| 4929 | N/D | Bajo | Se quitó un contexto de nomenclatura de origen de réplica de Active Directory |
| 4930 | N/D | Bajo | Se modificó un contexto de nomenclatura de origen de réplica de Active Directory |
| 4931 | N/D | Bajo | Se modificó un contexto de nomenclatura de destino de réplica de Active Directory |
| 4932 | N/D | Bajo | Comenzó la sincronización de una réplica de un contexto de nomenclatura de Active Directory |
| 4933 | N/D | Bajo | Finalizó la sincronización de una réplica de un contexto de nomenclatura de Active Directory |
| 4934 | N/D | Bajo | Se replicaron los atributos de un objeto de Active Directory |
| 4935 | N/D | Bajo | Empieza el error de replicación |
| 4936 | N/D | Bajo | Finaliza el error de replicación |
| 4937 | N/D | Bajo | Se quitó un objeto persistente de una réplica |
| 4944 | N/D | Bajo | La siguiente directiva estaba activa cuando se inició el Firewall de Windows. |
| 4945 | N/D | Bajo | Se mostró una regla al iniciarse el Firewall de Windows. |
| 4946 | N/D | Bajo | Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se agregó una regla. |
| 4947 | N/D | Bajo | Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se modificó una regla. |
| 4948 | N/D | Bajo | Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se eliminó una regla. |
| 4949 | N/D | Bajo | Los valores de configuración del Firewall de Windows se restauraron a los valores predeterminados. |
| 4950 | N/D | Bajo | Se cambió una configuración del Firewall de Windows. |
| 4951 | N/D | Bajo | Se ha omitido una regla porque el Firewall de Windows no reconoció su número de versión principal. |
| 4952 | N/D | Bajo | Se han omitido partes de una regla porque el Firewall de Windows no reconoció su número de versión secundaria. Se aplicarán las demás partes de la regla. |
| 4953 | N/D | Bajo | Firewall de Windows omitió una regla porque no la pudo analizar. |
| 4954 | N/D | Bajo | La configuración de directiva de grupo de Firewall de Windows ha cambiado. Se aplicó la nueva configuración. |
| 4956 | N/D | Bajo | Firewall de Windows ha cambiado el perfil activo. |
| 4957 | N/D | Bajo | Firewall de Windows no aplicó la siguiente regla: |
| 4958 | N/D | Bajo | Firewall de Windows no aplicó la siguiente regla porque hacía referencia a elementos que no están configurados en este equipo: |
| 4979 | N/D | Bajo | Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. |
| 4980 | N/D | Bajo | Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. |
| 4981 | N/D | Bajo | Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. |
| 4982 | N/D | Bajo | Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. |
| 4985 | N/D | Bajo | Se cambió el estado de una transacción |
| 5024 | N/D | Bajo | El servicio de Firewall de Windows se ha iniciado correctamente. |
| 5025 | N/D | Bajo | El servicio de Firewall de Windows se ha detenido. |
| 5031 | N/D | Bajo | El servicio Firewall de Windows impidió que una aplicación aceptara conexiones entrantes en la red |
| 5032 | N/D | Bajo | Firewall de Windows no pudo notificar al usuario que impidió que una aplicación aceptara conexiones entrantes en la red. |
| 5033 | N/D | Bajo | El controlador de Firewall de Windows se inició correctamente. |
| 5034 | N/D | Bajo | Se detuvo el controlador de Firewall de Windows. |
| 5039 | N/D | Bajo | Se virtualizó una clave del Registro. |
| 5040 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se agregó un conjunto de autenticación. |
| 5041 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se modificó un conjunto de autenticación. |
| 5042 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se eliminó un conjunto de autenticación. |
| 5043 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se agregó una regla de seguridad de conexión. |
| 5044 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se modificó una regla de seguridad de conexión. |
| 5045 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se eliminó una regla de seguridad de conexión. |
| 5046 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se agregó un conjunto criptográfico. |
| 5047 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se ha modificado un conjunto criptográfico. |
| 5048 | N/D | Bajo | Se realizó un cambio en la configuración de IPsec. Se ha eliminado un conjunto criptográfico. |
| 5050 | N/D | Bajo | Se intentó deshabilitar mediante programación el Firewall de Windows con una llamada a InetFwProfile.FirewallEnabled(False). |
| 5051 | N/D | Bajo | Se virtualizó un archivo |
| 5056 | N/D | Bajo | Se realizó una prueba criptográfica automática. |
| 5057 | N/D | Bajo | Error de operación primitiva criptográfica. |
| 5058 | N/D | Bajo | Operación de archivo de clave. |
| 5059 | N/D | Bajo | Operación de migración de clave. |
| 5060 | N/D | Bajo | Error en la operación de comprobación. |
| 5061 | N/D | Bajo | Operación criptográfica. |
| 5062 | N/D | Bajo | Se realizó una prueba criptográfica automática en modo kernel. |
| 5063 | N/D | Bajo | Se intentó una operación de proveedor criptográfico. |
| 5064 | N/D | Bajo | Se intentó una operación de contexto criptográfico. |
| 5065 | N/D | Bajo | Se intentó modificar un contexto criptográfico. |
| 5066 | N/D | Bajo | Se intentó una operación de función criptográfica. |
| 5067 | N/D | Bajo | Se intentó modificar una función criptográfica. |
| 5068 | N/D | Bajo | Se intentó una operación de proveedor de función criptográfica. |
| 5069 | N/D | Bajo | Se intentó una operación de propiedad de función criptográfica. |
| 5070 | N/D | Bajo | Se intentó modificar una propiedad de función criptográfica. |
| 5125 | N/D | Bajo | Se envió una solicitud al servicio de respondedor OCSP. |
| 5126 | N/D | Bajo | El servicio de respondedor OCSP actualizó automáticamente el certificado de firma. |
| 5127 | N/D | Bajo | El proveedor de revocación OCSP actualizó correctamente la información de revocación. |
| 5136 | 566 | Bajo | Se modificó un objeto de servicio de directorio |
| 5137 | 566 | Bajo | Se creó un objeto de servicio de directorio |
| 5138 | N/D | Bajo | Se recuperó un objeto de servicio de directorio |
| 5139 | N/D | Bajo | Se movió un objeto de servicio de directorio |
| 5140 | N/D | Bajo | Se tuvo acceso a un objeto de recurso compartido de red |
| 5141 | N/D | Bajo | Se eliminó un objeto de servicio de directorio |
| 5152 | N/D | Bajo | La Plataforma de filtrado de Windows bloqueó un paquete |
| 5153 | N/D | Bajo | Un filtro más restrictivo de la Plataforma de filtrado de Windows bloqueó un paquete |
| 5154 | N/D | Bajo | La Plataforma de filtrado de Windows permitió que una aplicación o un servicio escuche conexiones entrantes en un puerto |
| 5155 | N/D | Bajo | La Plataforma de filtrado de Windows bloqueó una aplicación o un servicio para que no escuchara conexiones entrantes en un puerto |
| 5156 | N/D | Bajo | La Plataforma de filtrado de Windows permitió una conexión |
| 5157 | N/D | Bajo | La Plataforma de filtrado de Windows bloqueó una conexión |
| 5158 | N/D | Bajo | La Plataforma de filtrado de Windows permitió un enlace con un puerto local |
| 5159 | N/D | Bajo | La Plataforma de filtrado de Windows bloqueó un enlace con un puerto local |
| 5378 | N/D | Bajo | Una directiva no permitió la delegación de credenciales solicitada. |
| 5440 | N/D | Bajo | La siguiente llamada estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows. |
| 5441 | N/D | Bajo | El siguiente filtro estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows. |
| 5442 | N/D | Bajo | El siguiente proveedor estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows. |
| 5443 | N/D | Bajo | El siguiente contexto de proveedor estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows. |
| 5444 | N/D | Bajo | El siguiente nivel secundario estaba presente cuando se inició el motor de filtrado base de la plataforma de filtrado de Windows. |
| 5446 | N/D | Bajo | Se cambió una llamada de la Plataforma de filtrado de Windows. |
| 5447 | N/D | Bajo | Se cambió un filtro de la Plataforma de filtrado de Windows. |
| 5448 | N/D | Bajo | Se cambió un proveedor de la Plataforma de filtrado de Windows. |
| 5449 | N/D | Bajo | Se cambió un contexto de proveedor de la Plataforma de filtrado de Windows. |
| 5450 | N/D | Bajo | Se ha cambiado el nivel secundario de la plataforma de filtrado de Windows. |
| 5451 | N/D | Bajo | Se estableció una asociación de seguridad de modo rápido de IPsec. |
| 5452 | N/D | Bajo | Finalizó una asociación de seguridad de modo rápido de IPsec. |
| 5456 | N/D | Bajo | El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo. |
| 5457 | N/D | Bajo | Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo. |
| 5458 | N/D | Bajo | El motor PAStore aplicó una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. |
| 5459 | N/D | Bajo | Error del motor PAStore al aplicar una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. |
| 5460 | N/D | Bajo | El motor PAStore aplicó una directiva IPsec de almacenamiento del Registro local en el equipo. |
| 5461 | N/D | Bajo | Error del motor PAStore al aplicar una directiva IPsec de almacenamiento del Registro local en el equipo. |
| 5462 | N/D | Bajo | Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Usa el complemento Monitor de seguridad IP para diagnosticar el problema. |
| 5463 | N/D | Bajo | El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio. |
| 5464 | N/D | Bajo | El motor PAStore sondeó en busca de cambios en la directiva IPsec activa, detectó cambios y los aplicó a los servicios IPsec. |
| 5465 | N/D | Bajo | El motor PAStore recibió un control para la recarga forzada de la directiva IPsec y procesó el control correctamente. |
| 5466 | N/D | Bajo | El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que no se podía establecer contacto con Active Directory y usará la copia almacenada en caché de la directiva IPsec de Active Directory en su lugar. No se pudieron aplicar los cambios realizados en la directiva IPsec de Active Directory desde el último sondeo. |
| 5467 | N/D | Bajo | El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que se podía establecer contacto con Active Directory y no encontró ningún cambio en la directiva Ya no se usa la copia almacenada en caché de la directiva IPsec de Active Directory. |
| 5468 | N/D | Bajo | El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que se podía establecer contacto con Active Directory, encontró cambios en la directiva y los aplicó. Ya no se usa la copia almacenada en caché de la directiva IPsec de Active Directory. |
| 5471 | N/D | Bajo | El motor PAStore cargó la directiva IPsec de almacenamiento local en el equipo. |
| 5472 | N/D | Bajo | Error del motor PAStore al cargar la directiva IPsec de almacenamiento local en el equipo. |
| 5473 | N/D | Bajo | El motor PAStore cargó la directiva IPsec de almacenamiento de directorio en el equipo. |
| 5474 | N/D | Bajo | Error del motor PAStore al cargar la directiva IPsec de almacenamiento de directorio en el equipo. |
| 5477 | N/D | Bajo | Error del motor PAStore al agregar el filtro de modo rápido. |
| 5479 | N/D | Bajo | Los servicios IPsec se cerraron correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad. |
| 5632 | N/D | Bajo | Se realizó una solicitud de autenticación en una red inalámbrica. |
| 5633 | N/D | Bajo | Se realizó una solicitud de autenticación en una red con cable. |
| 5712 | N/D | Bajo | Se intentó una llamada a procedimiento remoto (RPC). |
| 5888 | N/D | Bajo | Se modificó un objeto del catálogo COM+. |
| 5889 | N/D | Bajo | Se eliminó un objeto del catálogo COM+. |
| 5890 | N/D | Bajo | Se agregó un objeto al catálogo COM +. |
| 6008 | N/D | Bajo | El cierre del sistema anterior fue inesperado. |
| 6144 | N/D | Bajo | Se ha aplicado correctamente la directiva de seguridad en los objetos de directiva de grupo. |
| 6272 | N/D | Bajo | El Servidor de directivas de redes concedió acceso a un usuario. |
| N/D | 561 | Bajo | Se solicitó un identificador para un objeto. |
| N/D | 563 | Bajo | Objeto abierto para eliminar |
| N/D | 625 | Bajo | Se cambió el tipo de cuenta de usuario. |
| N/D | 613 | Bajo | Se inició el agente de directivas IPsec. |
| N/D | 614 | Bajo | Se deshabilitó el agente de directivas IPsec. |
| N/D | 615 | Bajo | Agente de directivas IPsec |
| N/D | 616 | Bajo | El agente de directivas IPsec encontró un posible error grave. |
| 24577 | N/D | Bajo | Se inició el cifrado del volumen. |
| 24578 | N/D | Bajo | Se detuvo el cifrado del volumen. |
| 24579 | N/D | Bajo | Se completó el cifrado del volumen. |
| 24580 | N/D | Bajo | Se inició el descifrado del volumen. |
| 24581 | N/D | Bajo | Se detuvo el descifrado del volumen. |
| 24582 | N/D | Bajo | Se completó el descifrado del volumen. |
| 24583 | N/D | Bajo | Se inició el subproceso de trabajo de conversión del volumen. |
| 24584 | N/D | Bajo | Se detuvo temporalmente el subproceso de trabajo de conversión del volumen. |
| 24588 | N/D | Bajo | La operación de conversión en el volumen %2 encontró un error de sector dañado. Valide los datos de este volumen. |
| 24595 | N/D | Bajo | El volumen %2 contiene clústeres dañados. Estos clústeres se omitirán durante la conversión. |
| 24621 | N/D | Bajo | Comprobación de estado inicial: transacción de conversión de volumen gradual en %2. |
| 5049 | N/D | Bajo | Se eliminó una asociación de seguridad de IPsec. |
| 5478 | N/D | Bajo | Los servicios IPsec se iniciaron correctamente. |
Nota
Consulte Eventos de auditoría de seguridad de Windows para obtener una lista de diversos identificadores de eventos de seguridad y sus significados.
Ejecute wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true para obtener una lista muy detallada de todos los identificadores de eventos de seguridad
Para más información sobre los identificadores de eventos de seguridad de Windows y sus significados, consulte el artículo de Soporte técnico de Microsoft Configuración básica de la directiva de auditoría de seguridad. También puede descargar eventos de auditoría de seguridad de Windows, que proporcionan información detallada de eventos para los sistemas operativos a los que se hace referencia en formato de hoja de cálculo.