Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В следующей таблице перечислены события, которые следует отслеживать в вашей среде, в соответствии с рекомендациями, приведенными в разделе "Мониторинг Active Directory для признаков компрометации". Всем организациям следует проверить эти рекомендации в своих средах перед созданием оповещений, которые требуют обязательного расследования. Каждая среда отличается, и некоторые события, ранжированные с высокой потенциальной критичностью, могут возникать из-за других безвредных событий.
Примечание.
Поведение ведения журнала по умолчанию в системах Windows зависит от версии и выпуска, при этом для многих объектов групповой политики (GPO) для аудита задано значение "Не настроено по умолчанию". Это означает, что система использует встроенные параметры для ведения журнала событий. Хотя критические события, такие как изменения политики аудита (идентификатор события 4719), обычно регистрируются, другие конкретные события (например, идентификаторы событий 4618 и 4649) могут потребовать явной настройки политики аудита.
Для комплексного ведения журнала, включая соответствующие идентификаторы событий, администраторы должны настроить соответствующие политики аудита в параметрах конфигурации компьютера\Параметры безопасности\Конфигурация расширенного аудита и конфигурация компьютера\Административные шаблоны\Компоненты Windows и другие соответствующие разделы групповой политики.
Учитывая эти переменные, важно, чтобы организации проверяли и при необходимости изменяли конфигурации аудита безопасности Windows в соответствии с их целями безопасности и соответствия требованиям. Это гарантирует, что значительные события фиксируются в средстве просмотра событий Windows, эффективно поддерживая требования к безопасности и соответствию требованиям.
Таблица идентификаторов событий
В следующей таблице столбец "Текущий идентификатор события Windows" содержит идентификатор события, реализованный в версиях Windows и Windows Server, которые в настоящее время находятся в основной поддержке. Столбец "Устаревший идентификатор события Windows" содержит соответствующий идентификатор события в устаревших версиях Windows, таких как клиентские компьютеры под управлением Windows XP или более ранних версий, а также серверы под управлением Windows Server 2003 или более ранних версий.
Столбец "Потенциальная критичность" определяет, должно ли событие рассматриваться как низкое, среднее или высококритичное значение при обнаружении атак, а в столбце "Сводка событий" представлено краткое описание события. Потенциальная критичность высокая означает, что следует исследовать один случай события. Потенциальная критичность среднего или низкого уровня означает, что эти события следует исследовать только в том случае, если они происходят неожиданно или в числах, значительно превышающих ожидаемый базовый план в измеренном периоде времени.
| Текущий идентификатор события Windows | Наследуемый идентификатор события Windows | Потенциальная критичность | Сводка по событиям |
|---|---|---|---|
| 4618 | Н/П | Высокая | Произошло событие безопасности, соответствующее контролируемому шаблону. |
| 4649 | Н/П | Высокая | Обнаружена атака воспроизведения. Может быть безвредным ложным срабатыванием из-за неправильной настройки. |
| 4719 | 612 | Высокая | Политика аудита системы была изменена. |
| 4765 | Н/П | Высокая | История SID была добавлена в учетную запись. |
| 4766 | Н/П | Высокая | Попытка добавить SID History в учетную запись завершилась неудачей. |
| 4794 | Н/П | Высокая | Предпринята попытка установить режим восстановления служб каталогов. |
| 4897 | 801 | Высокая | Включено разделение ролей. |
| 4964 | Н/П | Высокая | Специальные группы были назначены новому входу в систему. |
| 5124 | Н/П | Высокая | Параметр безопасности был обновлен в службе реагирования OCSP. |
| Н/П | 550 | От среднего до высокого | Возможная атака типа "отказ в обслуживании" (DoS). |
| 1102 | 517 | От среднего до высокого | Журнал аудита был очищен. |
| 4621 | Н/П | Средняя | Администратор восстановил систему из CrashOnAuditFail. Пользователям, не являющимся администраторами, теперь разрешено выполнять вход. Возможно, некоторые аудируемые операции не были записаны. |
| 4675 | Н/П | Средняя | SID'ы были отфильтрованы. |
| 4692 | Н/П | Средняя | Была предпринята попытка резервного копирования главного ключа защиты данных. |
| 4693 | Н/П | Средняя | Предпринята попытка восстановления главного ключа защиты данных. |
| 4706 | 610 | Средняя | Новое доверие было создано для домена. |
| 4713 | 617 | Средняя | Политика Kerberos была изменена. |
| 4714 | 618 | Средняя | Изменена политика восстановления зашифрованных данных. |
| 4715 | Н/П | Средняя | Политика аудита (SACL) объекта была изменена. |
| 4716 | 620 | Средняя | Изменены сведения о доверенном домене. |
| 4724 | 628 | Средняя | Предпринята попытка сбросить пароль учетной записи. |
| 4727 | 631 | Средняя | Была создана глобальная группа с функцией безопасности. |
| 4735 | 639 | Средняя | Локальная группа с функцией безопасности была изменена. |
| 4737 | 641 | Средняя | Глобальная группа с поддержкой безопасности была изменена. |
| 4739 | 643 | Средняя | Политика домена была изменена. |
| 4754 | 658 | Средняя | Была создана универсальная группа с поддержкой безопасности. |
| 4755 | 659 | Средняя | Универсальная группа с поддержкой безопасности была изменена. |
| 4764 | 667 | Средняя | Удалена группа без включённых параметров безопасности. |
| 4764 | 668 | Средняя | Тип группы был изменен. |
| 4780 | 684 | Средняя | ACL был установлен в учетных записях, являющихся членами групп администраторов. |
| 4816 | Н/П | Средняя | RPC обнаружил нарушение целостности при расшифровке входящего сообщения. |
| 4865 | Н/П | Средняя | Добавлена запись достоверной информации о лесах. |
| 4866 | Н/П | Средняя | Удалена запись сведений о доверенном лесу. |
| 4867 | Н/П | Средняя | Запись доверенной информации о лесе была изменена. |
| 4868 | 772 | Средняя | Диспетчер сертификатов отклонил запрос на сертификат, находящийся в состоянии ожидания. |
| 4870 | 774 | Средняя | Службы сертификатов отозвали сертификат. |
| 4882 | 786 | Средняя | Изменены разрешения безопасности служб сертификатов. |
| 4885 | 789 | Средняя | Изменен фильтр аудита для служб сертификатов. |
| 4890 | 794 | Средняя | Изменены параметры диспетчера сертификатов для служб сертификатов. |
| 4892 | 796 | Средняя | Изменено свойство служб сертификатов. |
| 4896 | восемьсот | Средняя | Одна или несколько строк были удалены из базы данных сертификатов. |
| 4906 | Н/П | Средняя | Значение CrashOnAuditFail изменилось. |
| 4907 | Н/П | Средняя | Параметры аудита объекта были изменены. |
| 4908 | Н/П | Средняя | Изменена таблица "Специальные группы входа в систему". |
| 4912 | 807 | Средняя | Политика аудита для каждого пользователя была изменена. |
| 4960 | Н/П | Средняя | IPsec отбросил входящий пакет, не прошедший проверку целостности. Если эта проблема сохраняется, это может указывать на проблему сети или изменения пакетов при передаче на этот компьютер. Убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. |
| 4961 | Н/П | Средняя | IPsec отбросил входящий пакет, который не прошел проверку на воспроизведение. Если эта проблема сохраняется, это может указывать на атаку повторного воспроизведения на этом компьютере. |
| 4962 | Н/П | Средняя | IPsec отбросил входящий пакет, который не прошел проверку на воспроизведение. Входящий пакет имел слишком низкий порядковый номер, чтобы гарантировать, что это не повторная передача. |
| 4963 | Н/П | Средняя | IPsec удаляет входящие текстовые пакеты, которые должны быть защищены. Обычно это связано с изменением политики IPsec удаленного компьютера без информирования этого компьютера. Это также может быть попыткой спуфинг-атаки. |
| 4965 | Н/П | Средняя | IPsec получил пакет с удаленного компьютера с неправильным индексом параметров безопасности (SPI). Обычно это вызвано сбоем оборудования, которое повреждает пакеты. Если эти ошибки сохраняются, убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. В этом случае, если подключение не препятствует, эти события можно игнорировать. |
| 4976 | Н/П | Средняя | Во время согласования в Главном режиме IPsec получил недопустимый пакет согласования. Если эта проблема сохраняется, это может указывать на проблему сети или попытку изменить или воспроизвести этот переговор. |
| 4977 | Н/П | Средняя | Во время переговоров в режиме быстрого режима IPsec получил недопустимый пакет переговоров. Если эта проблема сохраняется, это может указывать на проблему сети или попытку изменить или воспроизвести этот переговор. |
| 4978 | Н/П | Средняя | Во время переговоров в расширенном режиме IPsec получил недопустимый пакет согласования. Если эта проблема сохраняется, это может указывать на проблему сети или попытку изменить или воспроизвести этот переговор. |
| 4983 | Н/П | Средняя | Не удалось выполнить согласование расширенного режима IPsec. Удалена соответствующая связь безопасности в главном режиме. |
| 4984 | Н/П | Средняя | Не удалось выполнить согласование расширенного режима IPsec. Удалена соответствующая связь безопасности в главном режиме. |
| 5027 | Н/П | Средняя | Служба брандмауэра Windows не смогла получить политику безопасности из локального хранилища. Служба может продолжить применять текущую политику. |
| 5028 | Н/П | Средняя | Служба брандмауэра Windows не смогла проанализировать новую политику безопасности. Служба продолжит применять текущую политику. |
| 5029 | Н/П | Средняя | Не удалось инициализировать драйвер службой брандмауэра Windows. Служба продолжит применять текущую политику. |
| 5030 | Н/П | Средняя | Не удалось запустить службу брандмауэра Windows. |
| 5035 | Н/П | Средняя | Не удалось запустить драйвер брандмауэра Windows. |
| 5037 | Н/П | Средняя | Драйвер брандмауэра Windows обнаружил критичную ошибку среды выполнения. Завершение работы. |
| 5038 | Н/П | Средняя | Целостность кода определяет, что хэш изображения файла недопустим. Возможно, файл поврежден из-за неавторизованного изменения или недопустимый хэш может указывать на возможную ошибку дискового устройства. |
| 5120 | Н/П | Средняя | Запущена служба ответа OCSP. |
| 5121 | Н/П | Средняя | Служба ответа OCSP остановлена. |
| 5122 | Н/П | Средняя | В службе ответа OCSP была изменена запись конфигурации. |
| 5123 | Н/П | Средняя | В службе ответа OCSP была изменена запись конфигурации. |
| 5376 | Н/П | Средняя | Учетные данные диспетчера учетных данных были резервированы. |
| 5377 | Н/П | Средняя | Учетные данные диспетчера учетных данных были восстановлены из резервной копии. |
| 5453 | Н/П | Средняя | Согласование IPsec с удаленным компьютером не удалось, так как служба IKE и AuthIP IPsec Keying Modules (IKEEXT) не запущена. |
| 5480 | Н/П | Средняя | Службам IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте утилиту IP-монитор безопасности для диагностики проблемы. |
| 5483 | Н/П | Средняя | Службы IPsec не удалось инициализировать сервер RPC. Не удалось запустить службы IPsec. |
| 5484 | Н/П | Средняя | Службы IPsec столкнулись с критическим сбоем и были остановлены. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. |
| 5485 | Н/П | Средняя | Службы IPsec не смогли обработать некоторые фильтры IPsec во время события подключения и проигрывания сетевых интерфейсов. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте утилиту IP-монитор безопасности для диагностики проблемы. |
| 5827 | Н/П | Средняя | Служба Netlogon отклонила уязвимое подключение к защищенному каналу Netlogon из учетной записи компьютера. |
| 5828 | Н/П | Средняя | Служба Netlogon отклоняла уязвимое подключение к защищенному каналу Netlogon с использованием учётной записи доверительных отношений. |
| 6145 | Н/П | Средняя | При обработке политики безопасности в объектах групповой политики произошла одна или несколько ошибок. |
| 6273 | Н/П | Средняя | Сервер политики сети отказал пользователю в доступе. |
| 6274 | Н/П | Средняя | Сервер политики сети отбрасывает запрос пользователя. |
| 6275 | Н/П | Средняя | Сервер политики сети отбрасывает запрос на учет для пользователя. |
| 6276 | Н/П | Средняя | Сервер политики сети поместил пользователя в карантин. |
| 6277 | Н/П | Средняя | Сервер политики сети предоставил пользователю доступ с испытательным сроком, так как хост не соответствовал определенной политике работоспособности. |
| 6278 | Н/П | Средняя | Сервер политики сети предоставил пользователю полный доступ, так как хост выполнил определённые критерии работоспособности. |
| 6279 | Н/П | Средняя | Сервер политики сети заблокировал учетную запись пользователя из-за повторных неудачных попыток проверки подлинности. |
| 6280 | Н/П | Средняя | Сервер политики сети разблокировал учетную запись пользователя. |
| - | 640 | Средняя | Общая база данных учетной записи изменилась. |
| - | 619 | Средняя | Изменено качество политики обслуживания. |
| 24586 | Н/П | Средняя | Возникла ошибка при преобразовании тома. |
| 24592 | Н/П | Средняя | Не удалось автоматически перезапустить конвертацию на томе %2. |
| 24593 | Н/П | Средняя | Запись метаданных: том %2 возвращает ошибки при попытке изменить метаданные. Если сбои продолжаются, расшифруйте том. |
| 24594 | Н/П | Средняя | Перестроение метаданных: попытка записать копию метаданных на томе %2 не удалась и может восприниматься как повреждение диска. Если сбои продолжаются, расшифруйте том. |
| 4608 | 512 | Низкая | Windows запускается. |
| 4609 | 513 | Низкая | Windows завершает работу. |
| 4610 | 514 | Низкая | Пакет проверки подлинности загружен локальным центром безопасности. |
| 4611 | 515 | Низкая | Процесс доверенного входа зарегистрирован в локальном органе безопасности. |
| 4612 | 516 | Низкая | Внутренние ресурсы, выделенные для очереди сообщений аудита, были исчерпаны, что вызвало потерю некоторых данных аудита. |
| 4614 | 518 | Низкая | Пакет уведомлений загружен диспетчером учетных записей безопасности. |
| 4615 | 519 | Низкая | Недопустимое использование порта LPC. |
| 4616 | 520 | Низкая | Системное время было изменено. |
| 4622 | Н/П | Низкая | Пакет безопасности загружен Локальным органом безопасности. |
| 4624 | 528,540 | Низкая | Учетная запись успешно вошла в систему. |
| 4625 | 529-537,539 | Низкая | Не удалось войти в учетную запись. |
| 4634 | 538 | Низкая | Учетная запись была отключена. |
| 4646 | Н/П | Низкая | Начат режим защиты IKE от DoS. |
| 4647 | 551 | Низкая | Вход, инициированный пользователем. |
| 4648 | 552 | Низкая | Вход был предпринят с помощью явных учетных данных. |
| 4650 | Н/П | Низкая | Была создана связь безопасности основного режима IPsec. Расширенный режим не включен. Проверка подлинности сертификата не использовалась. |
| 4651 | Н/П | Низкая | Была создана связь безопасности основного режима IPsec. Расширенный режим не включен. Сертификат использовался для проверки подлинности. |
| 4652 | Н/П | Низкая | Не удалось выполнить согласование основного режима IPsec. |
| 4653 | Н/П | Низкая | Не удалось выполнить согласование основного режима IPsec. |
| 4654 | Н/П | Низкая | Не удалось выполнить согласование быстрого режима IPsec. |
| 4655 | Н/П | Низкая | Прекращена ассоциация безопасности основного режима IPsec. |
| 4656 | 560 | Низкая | Запрошен дескриптор объекта. |
| 4657 | 567 | Низкая | Значение реестра было изменено. |
| 4658 | 562 | Низкая | Дескриптор объекта был закрыт. |
| 4659 | Н/П | Низкая | Дескриптор объекта был запрошен с намерением удаления. |
| 4660 | 564 | Низкая | Объект был удален. |
| 4661 | 565 | Низкая | Запрошен дескриптор объекта. |
| 4662 | 566 | Низкая | Операция была выполнена над объектом. |
| 4663 | 567 | Низкая | Предпринята попытка доступа к объекту. |
| 4664 | Н/П | Низкая | Предпринята попытка создать жесткую ссылку. |
| 4665 | Н/П | Низкая | Предпринята попытка создать контекст клиента приложения. |
| 4666 | Н/П | Низкая | Приложение попыталось выполнить операцию. |
| 4667 | Н/П | Низкая | Удален контекст клиента приложения. |
| 4668 | Н/П | Низкая | Приложение инициализировано. |
| 4670 | Н/П | Низкая | Изменены разрешения для объекта. |
| 4671 | Н/П | Низкая | Приложение попыталось получить доступ к заблокированному порядковому номеру через TBS. |
| 4672 | 576 | Низкая | Специальные привилегии, назначенные новому входу. |
| 4673 | 577 | Низкая | Была вызвана привилегированная служба. |
| 4674 | 578 | Низкая | Была предпринята попытка выполнить операцию на привилегированном объекте. |
| 4688 | 592 | Низкая | Был создан новый процесс. |
| 4689 | 593 | Низкая | Процесс завершился. |
| 4690 | 594 | Низкая | Предпринята попытка дублировать дескриптор объекта. |
| 4691 | 595 | Низкая | Запрошен косвенный доступ к объекту. |
| 4694 | Н/П | Низкая | Предпринята попытка защиты защищенных данных с возможностью аудита. |
| 4695 | Н/П | Низкая | Была предпринята попытка отменить защиту защищенных данных с возможностью аудита. |
| 4696 | 600 | Низкая | Основной токен был назначен процессу. |
| 4697 | 601 | Низкая | Попытайтесь установить службу. |
| 4698 | 602 | Низкая | Была создана запланированная задача. |
| 4699 | 602 | Низкая | Запланированная задача была удалена. |
| четыре тысячи семьсот | 602 | Низкая | Запланированная задача была включена. |
| 4701 | 602 | Низкая | Запланированная задача отключена. |
| 4702 | 602 | Низкая | Запланированная задача была обновлена. |
| 4704 | 608 | Низкая | Пользователю было назначено право. |
| 4705 | 609 | Низкая | Было удалено пользовательское право. |
| 4707 | 611 | Низкая | Было удалено доверие к домену. |
| 4709 | Н/П | Низкая | Службы IPsec были запущены. |
| 4710 | Н/П | Низкая | Службы IPsec отключены. |
| 4711 | Н/П | Низкая | Может содержать любой из следующих элементов: модуль PAStore применяет локально кэшированную копию политики IPsec хранилища Active Directory на компьютере. Модуль PAStore применил политику IPsec хранилища Active Directory на компьютере. Модуль PAStore применил политику IPsec локального хранилища реестра на компьютере. Не удалось на компьютере применить локально кэшированную копию политики IPsec хранилища Active Directory. Службу PAStore Engine не удалось применить политику IPsec хранилища Active Directory на компьютере. Подсистема PAStore не смогла применить политику IPsec локального хранилища реестра на компьютере. PAStore Engine не удалось применить некоторые правила активной политики IPsec на компьютере. Подсистеме PAStore не удалось загрузить политику IPsec из хранилища директорий на компьютере. PAStore Engine загрузил политику IPsec хранилища каталогов на компьютере. Модуль PAStore не смог загрузить политику IPsec из локального хранилища на компьютере. Модуль PAStore загружает политику IPsec локального хранилища на компьютере. Модуль PAStore проверил изменения в активной политике IPsec и не обнаружил никаких изменений. |
| 4712 | Н/П | Низкая | Службы IPsec столкнулись с потенциально серьезным сбоем. |
| 4717 | 621 | Низкая | Учетной записи был предоставлен доступ к системе безопасности. |
| 4718 | 622 | Низкая | Доступ к системе был удален из учетной записи. |
| 4720 | 624 | Низкая | Была создана учетная запись пользователя. |
| 4722 | 626 | Низкая | Учетная запись пользователя включена. |
| 4723 | 627 | Низкая | Предпринята попытка изменить пароль учетной записи. |
| 4725 | 629 | Низкая | Учетная запись пользователя отключена. |
| 4726 | 630 | Низкая | Удалена учетная запись пользователя. |
| 4728 | 632 | Низкая | Участник был добавлен в глобальную группу с поддержкой безопасности. |
| 4729 | 633 | Низкая | Участник был удален из глобальной группы с поддержкой безопасности. |
| 4730 | 634 | Низкая | Глобальная группа с поддержкой безопасности была удалена. |
| 4731 | 635 | Низкая | Была создана локальная группа с поддержкой безопасности. |
| 4732 | 636 | Низкая | Участник был добавлен в локальную группу с поддержкой безопасности. |
| 4733 | 637 | Низкая | Участник был удален из локальной группы с включенной поддержкой безопасности. |
| 4734 | 638 | Низкая | Локальная группа с поддержкой безопасности была удалена. |
| 4738 | 642 | Низкая | Учетная запись пользователя была изменена. |
| 4740 | 644 | Низкая | Учетная запись пользователя заблокирована. |
| 4741 | 645 | Низкая | Учетная запись компьютера была изменена. |
| 4742 | 646 | Низкая | Учетная запись компьютера была изменена. |
| 4743 | 647 | Низкая | Удалена учетная запись компьютера. |
| 4744 | 648 | Низкая | Была создана локальная группа с отключенной безопасностью. |
| 4745 | 649 | Низкая | Локальная группа с отключенной безопасностью была изменена. |
| 4746 | 650 | Низкая | Участник был добавлен в локальную группу с отключенной безопасностью. |
| 4747 | 651 | Низкая | Участник был удален из локальной группы с отключенной безопасностью. |
| 4748 | 652 | Низкая | Удалена локальная группа с отключёнными функциями безопасности. |
| 4749 | 653 | Низкая | Была создана глобальная группа с отключенной безопасностью. |
| 4750 | 654 | Низкая | Глобальная группа с отключенной безопасностью была изменена. |
| 4751 | 655 | Низкая | Участник был добавлен в глобальную группу, не имеющую полномочий безопасности. |
| 4752 | 656 | Низкая | Участник был удален из глобальной группы, не являющейся безопасной. |
| 4753 | 657 | Низкая | Удалена глобальная группа с отключенной безопасностью. |
| 4756 | 660 | Низкая | Участник был добавлен в универсальную группу с поддержкой безопасности. |
| 4757 | 661 | Низкая | Участник был удален из универсальной группы с поддержкой безопасности. |
| 4758 | 662 | Низкая | Удалена универсальная группа с поддержкой безопасности. |
| 4759 | 663 | Низкая | Была создана универсальная группа без возможности обеспечения безопасности. |
| 4760 | 664 | Низкая | Была изменена универсальная группа, для которой отключены функции безопасности. |
| 4761 | 665 | Низкая | Участник был добавлен в универсальную группу без поддержки безопасности. |
| 4762 | 666 | Низкая | Участник был удалён из универсальной группы с отключенной безопасностью. |
| 4767 | 671 | Низкая | Учетная запись пользователя была разблокирована. |
| 4768 | 672,676 | Низкая | Была запрошена аутентификационная заявка Kerberos (TGT). |
| 4769 | 673 | Низкая | Был запрошен службовой билет Kerberos. |
| 4770 | 674 | Низкая | Сервисный билет Kerberos был обновлён. |
| 4771 | 675 | Низкая | Сбой предварительной проверки подлинности Kerberos. |
| 4772 | 672 | Низкая | Сбой запроса на получение билета проверки подлинности Kerberos. |
| 4774 | 678 | Низкая | Учетная запись была назначена для входа. |
| 4775 | 679 | Низкая | Не удалось сопоставить учетную запись для входа в систему. |
| 4776 | 680,681 | Низкая | Контроллер домена попытался проверить учетные данные для учетной записи. |
| 4777 | Н/П | Низкая | Контроллер домена не смог проверить учетные данные для учетной записи. |
| 4778 | 682 | Низкая | Сеанс был повторно подключен к оконной станции. |
| 4779 | 683 | Низкая | Сеанс был отключен от оконной станции. |
| 4781 | 685 | Низкая | Имя учетной записи было изменено. |
| 4782 | Н/П | Низкая | Для доступа к учетной записи использовался хеш пароля. |
| 4783 | 667 | Низкая | Была создана базовая группа приложений. |
| 4784 | Н/П | Низкая | Была изменена базовая группа приложений. |
| 4785 | 689 | Низкая | Участник был добавлен в базовую группу приложений. |
| 4786 | 690 | Низкая | Член был удален из базовой группы приложений. |
| 4787 | 691 | Низкая | Неучастник был добавлен в основную группу приложения. |
| 4788 | 692 | Низкая | Немембер был удален из базовой группы приложений. |
| 4789 | 693 | Низкая | Была удалена базовая группа приложений. |
| 4790 | 694 | Низкая | Была создана группа запросов LDAP. |
| 4793 | Н/П | Низкая | Был вызван API проверки политики паролей. |
| 4800 | Н/П | Низкая | Рабочая станция была заблокирована. |
| 4801 | Н/П | Низкая | Рабочая станция была разблокирована. |
| 4802 | Н/П | Низкая | Вызывается средство сохранения экрана. |
| 4803 | Н/П | Низкая | Заставка экрана была выключена. |
| 4864 | Н/П | Низкая | Обнаружено столкновение пространства имен. |
| 4869 | 773 | Низкая | Службы сертификатов получили повторно отправленный запрос на сертификат. |
| 4871 | 775 | Низкая | Службы сертификатов получили запрос на публикацию списка отзыва сертификатов (CRL). |
| 4872 | 776 | Низкая | Службы сертификатов опубликовали список отзыва сертификатов (CRL). |
| 4873 | 777 | Низкая | Изменено расширение запроса на сертификат. |
| 4874 | 778 | Низкая | Изменен один или несколько атрибутов запроса на сертификат. |
| 4 875 | 779 | Низкая | Службы сертификатов получили запрос на завершение работы. |
| 4876 | 780 | Низкая | Начата архивация служб сертификатов. |
| 4877 | 781 | Низкая | Архивация служб сертификатов завершена. |
| 4878 | 782 | Низкая | Начато восстановление служб сертификатов. |
| 4879 | 783 | Низкая | Восстановление служб сертификатов завершено. |
| 4880 | 784 | Низкая | Службы сертификатов запущены. |
| 4881 | 785 | Низкая | Службы сертификатов остановлены. |
| 4883 | 787 | Низкая | Службы сертификатов получили архивированный ключ. |
| 4884 | 788 | Низкая | Службы сертификатов импортировали сертификат в свою базу данных. |
| 4886 | 790 | Низкая | Службы сертификатов получили запрос на сертификат. |
| 4887 | 791 | Низкая | Службы сертификатов одобрили запрос на сертификат и выдали сертификат. |
| 4888 | 792 | Низкая | Службы сертификатов отклонили запрос на сертификат. |
| 4889 | 793 | Низкая | Службы сертификатов установили для запроса на сертификат отложенное состояние. |
| 4891 | 795 | Низкая | Изменена запись конфигурации для служб сертификатов. |
| 4893 | 797 | Низкая | Службы сертификатов выполнили архивацию ключа. |
| 4894 | 798 | Низкая | Службы сертификатов выполнили импорт и архивацию ключа. |
| 4895 | 799 | Низкая | Службы сертификатов опубликовали сертификат ЦС в службах домен Active Directory. |
| 4898 | 802 | Низкая | Службы сертификатов загрузили шаблон. |
| 4902 | Н/П | Низкая | Была создана таблица политик аудита для каждого пользователя. |
| 4904 | Н/П | Низкая | Предпринята попытка зарегистрировать источник событий безопасности. |
| 4905 | Н/П | Низкая | Предпринята попытка отменить регистрацию источника событий безопасности. |
| 4909 | Н/П | Низкая | Параметры локальной политики для TBS были изменены. |
| 4910 | Н/П | Низкая | Параметры групповой политики для ТБS были изменены. |
| 4928 | Н/П | Низкая | Был установлен контекст именования источника реплики Active Directory. |
| 4929 | Н/П | Низкая | Удален контекст именования источника реплики Active Directory. |
| 4930 | Н/П | Низкая | Изменен контекст именования источника реплики Active Directory. |
| 4931 | Н/П | Низкая | Изменен контекст именования целевой реплики Active Directory. |
| 4932 | Н/П | Низкая | Синхронизация копии контекста именования Active Directory была начата. |
| 4933 | Н/П | Низкая | Синхронизация реплики контекста именования Active Directory закончилась. |
| 4934 | Н/П | Низкая | Атрибуты объекта Active Directory были реплицированы. |
| 4935 | Н/П | Низкая | Сбой репликации начинается. |
| 4936 | Н/П | Низкая | Завершение сбоя репликации. |
| 4937 | Н/П | Низкая | Запаздывающий объект был удален из реплики. |
| 4944 | Н/П | Низкая | Следующая политика активна при запуске брандмауэра Windows. |
| 4945 | Н/П | Низкая | Правило было указано при запуске брандмауэра Windows. |
| 4946 | Н/П | Низкая | Изменение было внесено в список исключений брандмауэра Windows. Было добавлено правило. |
| 4947 | Н/П | Низкая | Изменение было внесено в список исключений брандмауэра Windows. Правило было изменено. |
| 4948 | Н/П | Низкая | Изменение было внесено в список исключений брандмауэра Windows. Правило было удалено. |
| 4949 | Н/П | Низкая | Параметры брандмауэра Windows были восстановлены в значениях по умолчанию. |
| 4950 | Н/П | Низкая | Изменен параметр брандмауэра Windows. |
| 4951 | Н/П | Низкая | Правило игнорируется, так как его основной номер версии не распознан брандмауэром Windows. |
| 4952 | Н/П | Низкая | Части правила игнорируются, так как его дополнительный номер версии не был распознан брандмауэром Windows. Другие части правила будут применены. |
| 4953 | Н/П | Низкая | Правило игнорируется брандмауэром Windows, так как оно не может проанализировать правило. |
| 4954 | Н/П | Низкая | Параметры групповой политики брандмауэра Windows изменились. Были применены новые параметры. |
| 4956 | Н/П | Низкая | Брандмауэр Windows изменил активный профиль. |
| 4957 | Н/П | Низкая | Брандмауэр Windows не применял следующее правило. |
| 4958 | Н/П | Низкая | Брандмауэр Windows не применял следующее правило, так как правило ссылалось на элементы, не настроенные на этом компьютере. |
| 4979 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4980 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4981 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4982 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4985 | Н/П | Низкая | Состояние транзакции изменилось. |
| 5024 | Н/П | Низкая | Служба брандмауэра Windows успешно запущена. |
| 5025 | Н/П | Низкая | Служба брандмауэра Windows остановлена. |
| 5031 | Н/П | Низкая | Служба брандмауэра Windows заблокировала прием входящих подключений в сети. |
| 5032 | Н/П | Низкая | Брандмауэр Windows не смог уведомить пользователя о том, что приложение заблокировало прием входящих подключений в сети. |
| 5033 | Н/П | Низкая | Драйвер брандмауэра Windows успешно запущен. |
| 5034 | Н/П | Низкая | Драйвер брандмауэра Windows остановлен. |
| 5039 | Н/П | Низкая | Раздел реестра был виртуализирован. |
| 5040 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Добавлен набор проверки подлинности. |
| 5041 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Набор аутентификации был изменен. |
| 5042 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Набор проверки подлинности был удален. |
| 5043 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Добавлено правило безопасности подключения. |
| 5044 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Было изменено правило безопасности подключения. |
| 5045 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Было удалено правило безопасности подключения. |
| 5046 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Добавлен набор шифрования. |
| 5047 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Набор шифрования был изменен. |
| 5048 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Был удален набор шифрования. |
| 5050 | Н/П | Низкая | Попытка программно отключить брандмауэр Windows с помощью вызова InetFwProfile.FirewallEnabled(False). |
| 5051 | Н/П | Низкая | Файл был виртуализирован. |
| 5056 | Н/П | Низкая | Был выполнен криптографический самотест. |
| 5057 | Н/П | Низкая | Не удалось выполнить криптографическую примитивную операцию. |
| 5058 | Н/П | Низкая | Операция с ключевым файлом. |
| 5059 | Н/П | Низкая | Операция миграции ключей. |
| 5060 | Н/П | Низкая | Сбой операции проверки. |
| 5061 | Н/П | Низкая | Операция шифрования. |
| 5062 | Н/П | Низкая | Была выполнена криптографическая самоверка в режиме ядра. |
| 5063 | Н/П | Низкая | Была предпринята попытка выполнить операцию криптографического провайдера. |
| 5064 | Н/П | Низкая | Была предпринята операция в криптографическом контексте. |
| 5065 | Н/П | Низкая | Была предпринята попытка изменения криптографического контекста. |
| 5066 | Н/П | Низкая | Была выполнена попытка выполнить криптографическую функцию. |
| 5067 | Н/П | Низкая | Была предпринята попытка изменения криптографической функции. |
| 5068 | Н/П | Низкая | Была предпринята попытка выполнить операцию поставщика криптографических функций. |
| 5069 | Н/П | Низкая | Было предпринято действие с свойством криптографической функции. |
| 5070 | Н/П | Низкая | Была предпринята попытка изменения свойства криптографической функции. |
| 5125 | Н/П | Низкая | Запрос был отправлен службе ответа OCSP. |
| 5126 | Н/П | Низкая | Сертификат подписи был автоматически обновлен службой ответа OCSP. |
| 5127 | Н/П | Низкая | Поставщик отзыва OCSP успешно обновил сведения о отзывах. |
| 5136 | 566 | Низкая | Объект службы каталогов был изменен. |
| 5137 | 566 | Низкая | Был создан объект службы каталогов. |
| 5138 | Н/П | Низкая | Объект службы каталогов был отключен. |
| 5139 | Н/П | Низкая | Объект службы каталогов был перемещен. |
| 5140 | Н/П | Низкая | Доступ к объекту общей папки сети. |
| 5141 | Н/П | Низкая | Объект службы каталогов был удален. |
| 5152 | Н/П | Низкая | Платформа фильтрации Windows заблокирована пакетом. |
| 5153 | Н/П | Низкая | Более строгий фильтр платформы фильтрации Windows заблокировал пакет. |
| 5154 | Н/П | Низкая | Платформа фильтрации Windows позволила приложению или службе прослушивать порт для входящих подключений. |
| 5155 | Н/П | Низкая | Платформа фильтрации Windows заблокировала прослушивание приложения или службы через порт для входящих подключений. |
| 5156 | Н/П | Низкая | Платформа фильтрации Windows разрешила подключение. |
| 5157 | Н/П | Низкая | Платформа фильтрации Windows заблокировала подключение. |
| 5158 | Н/П | Низкая | Платформа фильтрации Windows разрешила привязку к локальному порту. |
| 5159 | Н/П | Низкая | Платформа фильтрации Windows заблокировала привязку к локальному порту. |
| 5378 | Н/П | Низкая | Запрошенное делегирование учетных данных запрещено политикой. |
| 5440 | Н/П | Низкая | При запуске базового механизма фильтрации платформы фильтрации Windows была выведена следующая подсказка. |
| 5441 | Н/П | Низкая | Следующий фильтр был активен при запуске Базового фильтрующего модуля платформы фильтрации Windows. |
| 5442 | Н/П | Низкая | При запуске службы базовой фильтрации платформы Windows присутствовал следующий поставщик. |
| 5443 | Н/П | Низкая | При запуске подсистемы базовой фильтрации платформы фильтрации Windows присутствует следующий контекст поставщика. |
| 5444 | Н/П | Низкая | При запуске основного механизма фильтрации платформы фильтрации Windows присутствовал следующий подслой. |
| 5446 | Н/П | Низкая | Инициатор платформы фильтрации Windows был изменен. |
| 5447 | Н/П | Низкая | Изменен фильтр платформы фильтрации Windows. |
| 5448 | Н/П | Низкая | Поставщик платформы фильтрации Windows был изменен. |
| 5449 | Н/П | Низкая | Изменен контекст поставщика платформы фильтрации Windows. |
| 5450 | Н/П | Низкая | Подслой платформы фильтрации Windows был изменён. |
| 5451 | Н/П | Низкая | Была создана ассоциация безопасности быстрого режима IPsec. |
| 5452 | Н/П | Низкая | Прекращена ассоциация безопасности в быстром режиме IPsec. |
| 5456 | Н/П | Низкая | Модуль PAStore применил политику IPsec хранилища Active Directory на компьютере. |
| 5457 | Н/П | Низкая | Службу PAStore Engine не удалось применить политику IPsec хранилища Active Directory на компьютере. |
| 5458 | Н/П | Низкая | Модуль PAStore применяет локально кэшированную копию политики IPsec хранилища Active Directory на компьютере. |
| 5459 | Н/П | Низкая | Не удалось на компьютере применить локально кэшированную копию политики IPsec хранилища Active Directory. |
| 5460 | Н/П | Низкая | Модуль PAStore применил политику IPsec локального хранилища реестра на компьютере. |
| 5461 | Н/П | Низкая | Подсистема PAStore не смогла применить политику IPsec локального хранилища реестра на компьютере. |
| 5462 | Н/П | Низкая | PAStore Engine не удалось применить некоторые правила активной политики IPsec на компьютере. Используйте утилиту IP-монитор безопасности для диагностики проблемы. |
| 5463 | Н/П | Низкая | Модуль PAStore проверил изменения в активной политике IPsec и не обнаружил никаких изменений. |
| 5464 | Н/П | Низкая | Модуль PAStore опрашивал изменения в активной политике IPsec, обнаружил изменения и применил их к службам IPsec. |
| 5465 | Н/П | Низкая | Модуль PAStore получил команду для принудительной перезагрузки политики IPsec и успешно обработал её. |
| 5466 | Н/П | Низкая | Модуль PAStore, опрашивая изменения в политике IPsec Active Directory, определил, что Active Directory недоступен, и будет использовать кэшированную копию политики IPsec Active Directory. Любые изменения, внесенные в политику IPsec Active Directory после последнего опроса, не удалось применить. |
| 5467 | Н/П | Низкая | Модуль PAStore опрашивал изменения политики IPsec в Active Directory, определил, что Active Directory доступен, и не обнаружил никаких изменений в политике. Кэшированная копия политики IPsec Active Directory больше не используется. |
| 5468 | Н/П | Низкая | Модуль PAStore Engine запросил изменения в политике IPsec Active Directory, определил, что доступ к Active Directory возможен, обнаружил изменения в политике и применил их. Кэшированная копия политики IPsec Active Directory больше не используется. |
| 5471 | Н/П | Низкая | Модуль PAStore загружает политику IPsec локального хранилища на компьютере. |
| 5472 | Н/П | Низкая | Модуль PAStore не смог загрузить политику IPsec из локального хранилища на компьютере. |
| 5473 | Н/П | Низкая | PAStore Engine загрузил политику IPsec хранилища каталогов на компьютере. |
| 5474 | Н/П | Низкая | Подсистеме PAStore не удалось загрузить политику IPsec из хранилища директорий на компьютере. |
| 5477 | Н/П | Низкая | Не удалось движку PAStore добавить фильтр быстрого режима. |
| 5479 | Н/П | Низкая | Службы IPsec успешно остановлены. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. |
| 5632 | Н/П | Низкая | Был сделан запрос на проверку подлинности в беспроводной сети. |
| 5633 | Н/П | Низкая | Был сделан запрос для аутентификации в проводной сети. |
| 5712 | Н/П | Низкая | Была предпринята попытка удаленного вызова процедуры (RPC). |
| 5888 | Н/П | Низкая | Объект в каталоге COM+ был изменен. |
| 5889 | Н/П | Низкая | Объект был удален из каталога COM+. |
| 5890 | Н/П | Низкая | Объект был добавлен в каталог COM+. |
| 6008 | Н/П | Низкая | Предыдущее завершение работы системы было неожиданным. |
| 6144 | Н/П | Низкая | Политика безопасности в объектах групповой политики успешно применена. |
| 6272 | Н/П | Низкая | Сервер политики сети предоставил пользователю доступ. |
| Н/П | 561 | Низкая | Запрошен дескриптор объекта. |
| Н/П | 563 | Низкая | Объект открыт для удаления. |
| Н/П | 625 | Низкая | Изменен тип учетной записи пользователя. |
| Н/П | 613 | Низкая | Запущен агент политики IPsec. |
| Н/П | 614 | Низкая | Агент политики IPsec отключен. |
| Н/П | 615 | Низкая | Агент политики IPsec. |
| Н/П | 616 | Низкая | Агент политики IPsec столкнулся с потенциальным серьезным сбоем. |
| 24577 | Н/П | Низкая | Шифрование тома начато. |
| 24578 | Н/П | Низкая | Шифрование тома остановлено. |
| 24579 | Н/П | Низкая | Шифрование тома завершено. |
| 24580 | Н/П | Низкая | Расшифровка тома запущена. |
| 24581 | Н/П | Низкая | Расшифровка тома остановлена. |
| 24582 | Н/П | Низкая | Расшифровка тома завершена. |
| 24583 | Н/П | Низкая | Рабочий поток преобразования для тома запущен. |
| 24584 | Н/П | Низкая | Рабочий поток преобразования для тома временно остановлен. |
| 24588 | Н/П | Низкая | Операция преобразования на томе %2 столкнулась с ошибкой в секторе. Проверьте данные на этом томе. |
| 24595 | Н/П | Низкая | Том %2 содержит плохие кластеры. Эти кластеры будут пропущены во время преобразования. |
| 24621 | Н/П | Низкая | Начальная проверка состояния: транзакция последовательного преобразования тома на %2. |
| 5049 | Н/П | Низкая | Ассоциация безопасности IPsec была удалена. |
| 5478 | Н/П | Низкая | Службы IPsec успешно запущены. |
Примечание.
Сведения о событиях аудита безопасности Windows см. в списке идентификаторов событий безопасности и их значений.
Запустите wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true , чтобы получить подробный список всех идентификаторов событий безопасности.
См. также
Дополнительные сведения об идентификаторах событий безопасности Windows и их значениях см. в служба поддержки Майкрософт статье "Основные параметры политики аудита безопасности". Вы также можете скачать события аудита безопасности Windows, которые предоставляют подробные сведения о событиях для указанных операционных систем в формате электронной таблицы.