附录 L:事件监视器
下表根据监视 Active Directory 的入侵迹象提供的建议,列出了应在环境中监视的事件。 在下表中,“当前 Windows 事件 ID”列列出了在当前主流支持的 Windows 和 Windows Server 版本中实现的事件 ID。
“旧版 Windows 事件 ID”列列出了旧版 Windows 中的相应事件 ID,例如运行 Windows XP 或更早版本的客户端计算机和运行 Windows Server 2003 或更早版本的服务器。 “潜在严重程度”列标识在检测攻击时应将事件视为低、中还是高严重程度,“事件摘要”列提供了事件的简要说明。
若潜在严重程度为高,则表示事件发生一次时就应对其进行调查。 若潜在严重程度为中或低,表示仅应在事件意外发生或在测量时间段内次数大幅超过预期基线时对这些事件进行调查。 创建需要强制调查响应的警报前,所有组织都应在自己的环境中测试这些建议。 每个环境都是不同的,一些潜在严重程度等级为高的事件可能因其他无害事件而发生。
| 当前 Windows 事件 ID | 旧版 Windows 事件 ID | 潜在严重程度 | 事件摘要 |
|---|---|---|---|
| 4618 | 不可用 | 高 | 发生了受监视的安全事件模式。 |
| 4649 | 不可用 | 高 | 已检测到重播攻击。 可能是由于配置错误而导致的无害误报。 |
| 4719 | 612 | 高 | 已更改系统审核策略。 |
| 4765 | 不可用 | 高 | 已向帐户添加 SID 历史记录。 |
| 4766 | 不可用 | 高 | 尝试向帐户添加 SID 历史记录失败。 |
| 4794 | 不可用 | 高 | 尝试设置目录服务还原模式。 |
| 4897 | 801 | 高 | 角色分隔已启用: |
| 4964 | 不可用 | 高 | 已向新的登录信息分配特殊组。 |
| 5124 | 不可用 | 高 | OCSP 响应程序服务上已更新安全设置 |
| 不可用 | 550 | 中到高 | 可能的拒绝服务 (DoS) 攻击 |
| 1102 | 517 | 中到高 | 审核日志已清除 |
| 4621 | 不可用 | 中 | 管理员已从 CrashOnAuditFail 中恢复了系统。 现在将允许非管理员用户登录。 某个可审核活动可能未记录。 |
| 4675 | 不可用 | 中 | 筛选了 SID。 |
| 4692 | 不可用 | 中 | 已尝试备份数据保护主密钥。 |
| 4693 | 不可用 | 中 | 已尝试恢复数据保护主密钥。 |
| 4706 | 610 | 中 | 为域创建了新的信任。 |
| 4713 | 617 | 中 | 更改了 Kerberos 策略。 |
| 4714 | 618 | 中 | 更改了加密数据恢复策略。 |
| 4715 | 不可用 | 中 | 某个对象上的的审核策略 (SACL) 已更改。 |
| 4716 | 620 | 中 | 修改了受信任的域信息。 |
| 4724 | 628 | 中 | 尝试重置帐户的密码。 |
| 4727 | 631 | 中 | 创建了已启用安全性的全局组。 |
| 4735 | 639 | 中 | 更改了已启用安全性的本地组。 |
| 4737 | 641 | 中 | 更改了已启用安全性的全局组。 |
| 4739 | 643 | 中 | 更改了域策略。 |
| 4754 | 658 | 中 | 创建了已启用安全性的通用组。 |
| 4755 | 659 | 中 | 更改了已启用安全性的通用组。 |
| 4764 | 667 | 中 | 删除了已禁用安全性的组 |
| 4764 | 668 | 中 | 更改了组的类型。 |
| 4780 | 684 | 中 | 在作为管理员组成员的帐户上设置了 ACL。 |
| 4816 | 不可用 | 中 | RPC 在解密传入的消息时检测到完整性违规。 |
| 4865 | 不可用 | 中 | 添加了受信任的林信息条目。 |
| 4866 | 不可用 | 中 | 删除了受信任的林信息条目。 |
| 4867 | 不可用 | 中 | 修改了受信任的林信息条目。 |
| 4868 | 772 | 中 | 证书管理器已拒绝挂起的证书申请。 |
| 4870 | 774 | 中 | 证书服务已吊销证书。 |
| 4882 | 786 | 中 | 证书服务的安全权限已更改。 |
| 4885 | 789 | 中 | 证书服务的审核筛选器已更改。 |
| 4890 | 794 | 中 | 证书服务的证书管理器设置已更改。 |
| 4892 | 796 | 中 | 证书服务的属性已更改。 |
| 4896 | 800 | 中 | 已经从证书数据库删除一个或多个行。 |
| 4906 | 不可用 | 中 | CrashOnAuditFail 值已更改。 |
| 4907 | 不可用 | 中 | 某个对象上的审核设置已更改。 |
| 4908 | 不可用 | 中 | 特殊组登录信息表已修改。 |
| 4912 | 807 | 中 | 每用户审核策略已更改。 |
| 4960 | 不可用 | 中 | IPsec 丢弃了未通过完整性检查的入站数据包。 如果此问题仍然存在,则可能表明存在网络问题或数据包在传输到此计算机的过程中被修改。 验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可能表示与其他 IPsec 实现的互操作性问题。 |
| 4961 | 不可用 | 中 | IPsec 丢弃了未通过重播检查的入站数据包。 如果此问题仍然存在,则可能表示此计算机受到重放攻击。 |
| 4962 | 不可用 | 中 | IPsec 丢弃了未通过重播检查的入站数据包。 入站数据包的序列号太低,无法确保它是否通过重放。 |
| 4963 | 不可用 | 中 | IPsec 丢弃了本应受到保护的入站明文数据包。 这通常是由于远程计算机在未通知此计算机的情况下更改了其 IPsec 策略。 这也可能是一次欺骗攻击尝试。 |
| 4965 | 不可用 | 中 | IPsec 收到来自远程计算机的数据包,该数据包带有错误的安全参数索引 (SPI)。 这通常是由损坏数据包的故障硬件引起的。 如果这些错误仍然存在,请验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可以表示与其他 IPsec 实现的互操作性问题。 在这种情况下,如果连接不受阻碍,则可以忽略这些事件。 |
| 4976 | 不可用 | 中 | 在主模式协商期间,IPsec 收到无效的协商数据包。 如果此问题仍然存在,则可能表示存在网络问题,或者有人尝试修改或重播此协商。 |
| 4977 | 不可用 | 中 | 在快速模式协商期间,IPsec 收到无效的协商数据包。 如果此问题仍然存在,则可能表示存在网络问题,或者有人尝试修改或重播此协商。 |
| 4978 | 不可用 | 中 | 在扩展模式协商期间,IPsec 收到无效的协商数据包。 如果此问题仍然存在,则可能表示存在网络问题,或者有人尝试修改或重播此协商。 |
| 4983 | 不可用 | 中 | IPsec 扩展模式协商失败。 已删除相应的主模式安全关联。 |
| 4984 | 不可用 | 中 | IPsec 扩展模式协商失败。 已删除相应的主模式安全关联。 |
| 5027 | 不可用 | 中 | Windows 防火墙服务无法从本地存储检索安全策略。 该服务将继续强制实施当前策略。 |
| 5028 | 不可用 | 中 | Windows 防火墙服务无法分析新的安全策略。 该服务将继续强制实施当前策略。 |
| 5029 | 不可用 | 中 | Windows 防火墙服务无法初始化驱动程序。 该服务将继续强制实施当前策略。 |
| 5030 | 不可用 | 中 | 无法启动 Windows 防火墙服务。 |
| 5035 | 不可用 | 中 | 无法启动 Windows 防火墙驱动程序。 |
| 5037 | 不可用 | 中 | Windows 防火墙驱动程序检测到严重的运行时错误。 正在终止。 |
| 5038 | 不可用 | 中 | 代码完整性确定文件的图像哈希无效。 文件可能由于未经授权的修改而损坏,或者无效的哈希值可能表示潜在的磁盘设备错误。 |
| 5120 | 不可用 | 中 | OCSP 响应程序服务已启动 |
| 5121 | 不可用 | 中 | OCSP 响应程序服务已停止 |
| 5122 | 不可用 | 中 | OCSP 响应程序服务中的配置条目已更改 |
| 5123 | 不可用 | 中 | OCSP 响应程序服务中的配置条目已更改 |
| 5376 | 不可用 | 中 | 备份了凭据管理器凭据。 |
| 5377 | 不可用 | 中 | 从备份中还原了凭据管理器凭据。 |
| 5453 | 不可用 | 中 | 与远程计算机的 IPsec 协商失败,因为 IKE 和 AuthIP IPsec 密钥模块 (IKEEXT) 服务未启动。 |
| 5480 | 不可用 | 中 | IPsec 服务无法获取计算机上网络接口的完整列表。 这会带来潜在的安全风险,因为某些网络接口可能无法获得由应用的 IPsec 筛选器提供的保护。 使用 IP 安全监视器管理单元来诊断问题。 |
| 5483 | 不可用 | 中 | IPsec 服务无法初始化 RPC 服务器。 无法启动 IPsec Services。 |
| 5484 | 不可用 | 中 | IPsec 服务发生严重故障并已关闭。 关闭 IPsec Services 会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。 |
| 5485 | 不可用 | 中 | IPsec 服务无法针对网络接口的即插即用事件处理某些 IPsec 筛选器。 这会带来潜在的安全风险,因为某些网络接口可能无法获得由应用的 IPsec 筛选器提供的保护。 使用 IP 安全监视器管理单元来诊断问题。 |
| 5827 | 不可用 | 中 | Netlogon 服务拒绝了来自计算机帐户的易受攻击的 Netlogon 安全通道连接。 |
| 5828 | 不可用 | 中 | Netlogon 服务使用信任帐户拒绝了易受攻击的 Netlogon 安全通道连接。 |
| 6145 | 不可用 | 中 | 处理组策略对象中的安全策略时发生了一个或多个错误。 |
| 6273 | 不可用 | 中 | 网络策略服务器拒绝用户访问。 |
| 6274 | 不可用 | 中 | 网络策略服务器放弃了对用户的请求。 |
| 6275 | 不可用 | 中 | 网络策略服务器放弃了用户的记帐请求。 |
| 6276 | 不可用 | 中 | 网络策略服务器隔离了用户。 |
| 6277 | 不可用 | 中 | 网络策略服务器授予用户访问权限,但将其置于试用状态,因为主机不符合定义的运行状况策略。 |
| 6278 | 不可用 | 中 | 网络策略服务器授予用户完全访问权限,因为主机符合定义的运行状况策略。 |
| 6279 | 不可用 | 中 | 由于身份验证尝试多次失败,网络策略服务器锁定了用户帐户。 |
| 6280 | 不可用 | 中 | 网络策略服务器已解锁用户帐户。 |
| - | 640 | 中 | 常规帐户数据库已更改 |
| - | 619 | 中 | 服务质量策略已更改 |
| 24586 | 不可用 | 中 | 转换卷时遇到错误 |
| 24592 | 不可用 | 中 | 尝试在卷 %2 上自动重启转换失败。 |
| 24593 | 不可用 | 中 | 元数据写入:卷 %2 在尝试修改元数据时返回错误。 如果失败继续,则解密卷 |
| 24594 | 不可用 | 中 | 元数据重新生成:尝试在卷 %2 上写入元数据副本失败,并可能显示为磁盘损坏。 如果失败继续,则解密卷。 |
| 4608 | 512 | 低 | Windows 正在启动。 |
| 4609 | 513 | 低 | Windows 正在关闭。 |
| 4610 | 514 | 低 | 本地安全机构已加载验证包。 |
| 4611 | 515 | 低 | 已向本地安全机构注册了可信登录进程。 |
| 4612 | 516 | 低 | 已用尽分配给审核消息队列的内部资源,导致无法进行某些审核。 |
| 4614 | 518 | 低 | 安全帐户管理器加载了通知包。 |
| 4615 | 519 | 低 | LPC 端口的使用无效。 |
| 4616 | 520 | 低 | 系统时间已更改。 |
| 4622 | 不可用 | 低 | 本地安全机构加载了安全包。 |
| 4624 | 528,540 | 低 | 帐户登录成功。 |
| 4625 | 529-537,539 | 低 | 无法登录帐户。 |
| 4634 | 538 | 低 | 已注销帐户。 |
| 4646 | 不可用 | 低 | IKE DoS 防护模式已启动。 |
| 4647 | 551 | 低 | 用户启动的注销。 |
| 4648 | 552 | 低 | 尝试使用显式凭据登录。 |
| 4650 | 不可用 | 低 | 已建立 IPsec 主模式安全关联。 未启用扩展模式。 未使用证书身份验证。 |
| 4651 | 不可用 | 低 | 已建立 IPsec 主模式安全关联。 未启用扩展模式。 证书用于身份验证。 |
| 4652 | 不可用 | 低 | IPsec 主模式协商失败。 |
| 4653 | 不可用 | 低 | IPsec 主模式协商失败。 |
| 4654 | 不可用 | 低 | IPsec 快速模式协商失败。 |
| 4655 | 不可用 | 低 | IPsec 主模式安全关联已结束。 |
| 4656 | 560 | 低 | 请求某个对象的句柄。 |
| 4657 | 567 | 低 | 修改了注册表值。 |
| 4658 | 562 | 低 | 关闭某个对象的句柄。 |
| 4659 | 不可用 | 低 | 请求对象的句柄,以进行删除。 |
| 4660 | 564 | 低 | 对象已删除。 |
| 4661 | 565 | 低 | 请求某个对象的句柄。 |
| 4662 | 566 | 低 | 在对象上执行了操作。 |
| 4663 | 567 | 低 | 尝试访问某个对象。 |
| 4664 | 不可用 | 低 | 已尝试创建硬链接。 |
| 4665 | 不可用 | 低 | 尝试创建应用程序客户端上下文。 |
| 4666 | 不可用 | 低 | 应用程序尝试了一个操作: |
| 4667 | 不可用 | 低 | 已删除应用程序客户端上下文。 |
| 4668 | 不可用 | 低 | 应用程序已初始化。 |
| 4670 | 不可用 | 低 | 已更改对象上的权限。 |
| 4671 | 不可用 | 低 | 应用程序已尝试通过 TBS 访问被禁的序号。 |
| 4672 | 576 | 低 | 已向新的登录分配特殊权限。 |
| 4673 | 577 | 低 | 调用了特权服务。 |
| 4674 | 578 | 低 | 尝试对特权对象执行操作。 |
| 4688 | 592 | 低 | 已创建新进程。 |
| 4689 | 593 | 低 | 进程已退出。 |
| 4690 | 594 | 低 | 尝试复制某个对象的句柄。 |
| 4691 | 595 | 低 | 已请求间接访问某个对象。 |
| 4694 | 不可用 | 低 | 已尝试保护可审核的受保护数据。 |
| 4695 | 不可用 | 低 | 已尝试解除保护可审核的受保护数据。 |
| 4696 | 600 | 低 | 向进程分配了主要令牌。 |
| 4697 | 601 | 低 | 尝试安装服务 |
| 4698 | 602 | 低 | 创建了一个计划任务。 |
| 4699 | 602 | 低 | 删除了一个计划任务。 |
| 4700 | 602 | 低 | 启用了一个计划任务。 |
| 4701 | 602 | 低 | 禁用了一个计划任务。 |
| 4702 | 602 | 低 | 更新了一个计划任务。 |
| 4704 | 608 | 低 | 已分配用户权限。 |
| 4705 | 609 | 低 | 删除了用户权限。 |
| 4707 | 611 | 低 | 删除了对域的信任。 |
| 4709 | 不可用 | 低 | IPsec 服务已启动。 |
| 4710 | 不可用 | 低 | IPsec 服务已禁用。 |
| 4711 | 不可用 | 低 | 可以包含以下任一项:PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本。 PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略。 PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略。 PAStore 引擎无法在计算机上应用本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用活动 IPsec 策略的某些规则。 PAStore 引擎无法在计算机上加载目录存储 IPsec 策略。 PAStore 引擎在计算机上加载了目录存储 IPsec 策略。 PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。 PAStore 引擎在计算机上加载了本地存储 IPsec 策略。PAStore 引擎轮询了活动 IPsec 策略的更改,未检测到任何更改。 |
| 4712 | 不可用 | 低 | IPsec 服务遇到潜在的严重故障。 |
| 4717 | 621 | 低 | 向帐户授予了系统安全访问权限。 |
| 4718 | 622 | 低 | 从帐户中删除了系统安全访问权限。 |
| 4720 | 624 | 低 | 创建了用户帐户。 |
| 4722 | 626 | 低 | 启用了用户帐户。 |
| 4723 | 627 | 低 | 尝试更改帐户的密码。 |
| 4725 | 629 | 低 | 禁用了用户帐户。 |
| 4726 | 630 | 低 | 删除了用户帐户。 |
| 4728 | 632 | 低 | 向已启用安全性的全局组中添加了成员。 |
| 4729 | 633 | 低 | 从已启用安全性的全局组中删除了成员。 |
| 4730 | 634 | 低 | 删除了已启用安全性的全局组。 |
| 4731 | 635 | 低 | 创建了已启用安全性的本地组。 |
| 4732 | 636 | 低 | 向已启用安全性的本地组中添加了成员。 |
| 4733 | 637 | 低 | 从已启用安全性的本地组中删除了成员。 |
| 4734 | 638 | 低 | 删除了已启用安全性的本地组。 |
| 4738 | 642 | 低 | 更改了用户帐户。 |
| 4740 | 644 | 低 | 已锁定用户帐户。 |
| 4741 | 645 | 低 | 更改了计算机帐户。 |
| 4742 | 646 | 低 | 更改了计算机帐户。 |
| 4743 | 647 | 低 | 删除了计算机帐户。 |
| 4744 | 648 | 低 | 创建了已禁用安全性的本地组。 |
| 4745 | 649 | 低 | 更改了已禁用安全性的本地组。 |
| 4746 | 650 | 低 | 向已禁用安全性的本地组中添加了成员。 |
| 4747 | 651 | 低 | 从已禁用安全性的本地组中删除了成员。 |
| 4748 | 652 | 低 | 删除了已禁用安全性的本地组。 |
| 4749 | 653 | 低 | 创建了已禁用安全性的全局组。 |
| 4750 | 654 | 低 | 更改了已禁用安全性的全局组。 |
| 4751 | 655 | 低 | 向已禁用安全性的全局组中添加了成员。 |
| 4752 | 656 | 低 | 从已禁用安全性的全局组中删除了成员。 |
| 4753 | 657 | 低 | 删除了已禁用安全性的全局组。 |
| 4756 | 660 | 低 | 向已启用安全性的通用组中添加了成员。 |
| 4757 | 661 | 低 | 从已启用安全性的通用组中删除了成员。 |
| 4758 | 662 | 低 | 删除了已启用安全性的通用组。 |
| 4759 | 663 | 低 | 创建了已禁用安全性的通用组。 |
| 4760 | 664 | 低 | 更改了已禁用安全性的通用组。 |
| 4761 | 665 | 低 | 向已禁用安全性的通用组中添加了成员。 |
| 4762 | 666 | 低 | 从已禁用安全性的通用组中删除了成员。 |
| 4767 | 671 | 低 | 已解锁用户帐户。 |
| 4768 | 672,676 | 低 | 请求了 Kerberos 身份验证票证 (TGT)。 |
| 4769 | 673 | 低 | 请求了 Kerberos 服务票证。 |
| 4770 | 674 | 低 | 已续订 Kerberos 服务票证。 |
| 4771 | 675 | 低 | Kerberos 预身份验证失败。 |
| 4772 | 672 | 低 | Kerberos 身份验证票证请求失败。 |
| 4774 | 678 | 低 | 已出于登录目的映射帐户。 |
| 4775 | 679 | 低 | 无法映射帐户进行登录。 |
| 4776 | 680,681 | 低 | 域控制器试图验证帐户的凭据。 |
| 4777 | 不可用 | 低 | 域控制器未能验证帐户的凭据。 |
| 4778 | 682 | 低 | 会话已重新连接到窗口工作站。 |
| 4779 | 683 | 低 | 会话已从窗口工作站断开连接。 |
| 4781 | 685 | 低 | 已更改帐户名称: |
| 4782 | 不可用 | 低 | 已访问密码哈希帐户。 |
| 4783 | 667 | 低 | 已创建基本应用程序组。 |
| 4784 | 不可用 | 低 | 更改了基本应用程序组。 |
| 4785 | 689 | 低 | 向基本应用程序组添加了成员。 |
| 4786 | 690 | 低 | 已从基本应用程序组中删除了成员。 |
| 4787 | 691 | 低 | 向基本应用程序组添加了非成员。 |
| 4788 | 692 | 低 | 从基本应用程序组删除了非成员。 |
| 4789 | 693 | 低 | 已删除基本应用程序组。 |
| 4790 | 694 | 低 | 已创建 LDAP 查询组。 |
| 4793 | 不可用 | 低 | 调用了密码策略检查 API。 |
| 4800 | 不可用 | 低 | 工作站已锁定。 |
| 4801 | 不可用 | 低 | 工作站已解锁。 |
| 4802 | 不可用 | 低 | 调用了屏幕保护程序。 |
| 4803 | 不可用 | 低 | 消除了屏幕保护程序。 |
| 4864 | 不可用 | 低 | 检测到命名空间冲突。 |
| 4869 | 773 | 低 | 证书服务收到重新提交的证书申请。 |
| 4871 | 775 | 低 | 证书服务收到发布证书吊销列表 (CRL) 的申请。 |
| 4872 | 776 | 低 | 证书服务已发布证书吊销列表 (CRL)。 |
| 4873 | 777 | 低 | 证书申请扩展已更改。 |
| 4874 | 778 | 低 | 一个或多个证书申请属性已更改。 |
| 4875 | 779 | 低 | 证书服务收到执行关闭操作的申请。 |
| 4876 | 780 | 低 | 证书服务备份已启动。 |
| 4877 | 781 | 低 | 证书服务备份已完成。 |
| 4878 | 782 | 低 | 证书服务还原已启动。 |
| 4879 | 783 | 低 | 证书服务还原已完成。 |
| 4880 | 784 | 低 | 证书服务已启动。 |
| 4881 | 785 | 低 | 证书服务已停止。 |
| 4883 | 787 | 低 | 证书服务检索到存档的密钥。 |
| 4884 | 788 | 低 | 证书服务已将证书导入到其数据库中。 |
| 4886 | 790 | 低 | 证书服务收到证书申请。 |
| 4887 | 791 | 低 | 证书服务已批准证书申请并颁发证书。 |
| 4888 | 792 | 低 | 证书服务已拒绝证书申请。 |
| 4889 | 793 | 低 | 证书服务将证书申请的状态设置为挂起。 |
| 4891 | 795 | 低 | 证书服务中的配置项已更改。 |
| 4893 | 797 | 低 | 证书服务已存档密钥。 |
| 4894 | 798 | 低 | 证书服务已导入并存档密钥。 |
| 4895 | 799 | 低 | 证书服务已将 CA 证书发布到 Active Directory 域服务。 |
| 4898 | 802 | 低 | 证书服务已加载模板。 |
| 4902 | 不可用 | 低 | 已创建每用户审核策略表。 |
| 4904 | 不可用 | 低 | 尝试注册安全事件源。 |
| 4905 | 不可用 | 低 | 尝试注销安全事件源。 |
| 4909 | 不可用 | 低 | 已更改 TBS 的本地策略设置。 |
| 4910 | 不可用 | 低 | 已更改 TBS 的组策略设置。 |
| 4928 | 不可用 | 低 | 已建立 Active Directory 副本源命名上下文。 |
| 4929 | 不可用 | 低 | 已删除 Active Directory 副本源命名上下文。 |
| 4930 | 不可用 | 低 | 修改了 Active Directory 副本源命名上下文。 |
| 4931 | 不可用 | 低 | 修改了 Active Directory 副本目标命名上下文。 |
| 4932 | 不可用 | 低 | Active Directory 命名上下文的副本同步已开始。 |
| 4933 | 不可用 | 低 | Active Directory 命名上下文的副本同步已结束。 |
| 4934 | 不可用 | 低 | 已复制 Active Directory 对象的属性。 |
| 4935 | 不可用 | 低 | 复制故障开始。 |
| 4936 | 不可用 | 低 | 复制故障结束。 |
| 4937 | 不可用 | 低 | 已从副本中删除延迟对象。 |
| 4944 | 不可用 | 低 | 在 Windows 防火墙启动后,以下策略处于活动状态。 |
| 4945 | 不可用 | 低 | Windows 防火墙启动时列出了某个规则。 |
| 4946 | 不可用 | 低 | 对 Windows 防火墙例外列表进行了更改。 已添加规则。 |
| 4947 | 不可用 | 低 | 对 Windows 防火墙例外列表进行了更改。 已修改规则。 |
| 4948 | 不可用 | 低 | 对 Windows 防火墙例外列表进行了更改。 已删除规则。 |
| 4949 | 不可用 | 低 | Windows 防火墙设置已还原为默认值。 |
| 4950 | 不可用 | 低 | Windows 防火墙设置已更改。 |
| 4951 | 不可用 | 低 | 已忽略了某个规则,因为 Windows 防火墙无法识别其主版本号。 |
| 4952 | 不可用 | 低 | 已忽略某个规则的某些部分,因为 Windows 防火墙未识别其次要版本号。 将强制实施规则的其他部分。 |
| 4953 | 不可用 | 低 | Windows 防火墙忽略了某个规则,因为它无法分析该规则。 |
| 4954 | 不可用 | 低 | Windows 防火墙组策略设置已更改。 已应用新设置。 |
| 4956 | 不可用 | 低 | Windows 防火墙更改了活动配置文件。 |
| 4957 | 不可用 | 低 | Windows 防火墙未应用以下规则: |
| 4958 | 不可用 | 低 | Windows 防火墙未应用以下规则,因为这台计算机上未配置规则引用的项: |
| 4979 | 不可用 | 低 | 已建立 IPsec 主模式和扩展模式安全关联。 |
| 4980 | 不可用 | 低 | 已建立 IPsec 主模式和扩展模式安全关联。 |
| 4981 | 不可用 | 低 | 已建立 IPsec 主模式和扩展模式安全关联。 |
| 4982 | 不可用 | 低 | 已建立 IPsec 主模式和扩展模式安全关联。 |
| 4985 | 不可用 | 低 | 已更改事务状态。 |
| 5024 | 不可用 | 低 | 已成功启动 Windows 防火墙服务。 |
| 5025 | 不可用 | 低 | 已停止 Windows 防火墙服务。 |
| 5031 | 不可用 | 低 | Windows 防火墙服务已禁止应用程序接受网络中的传入连接。 |
| 5032 | 不可用 | 低 | Windows 防火墙无法通知用户已禁止应用程序接受网络中的传入连接。 |
| 5033 | 不可用 | 低 | 已成功启动 Windows 防火墙驱动程序。 |
| 5034 | 不可用 | 低 | Windows 防火墙驱动程序已停止。 |
| 5039 | 不可用 | 低 | 已虚拟化注册表项。 |
| 5040 | 不可用 | 低 | 对 IPsec 设置进行了更改。 添加了身份验证集。 |
| 5041 | 不可用 | 低 | 对 IPsec 设置进行了更改。 修改了身份验证集。 |
| 5042 | 不可用 | 低 | 对 IPsec 设置进行了更改。 删除了身份验证集。 |
| 5043 | 不可用 | 低 | 对 IPsec 设置进行了更改。 添加了连接安全规则。 |
| 5044 | 不可用 | 低 | 对 IPsec 设置进行了更改。 修改了连接安全规则。 |
| 5045 | 不可用 | 低 | 对 IPsec 设置进行了更改。 删除了连接安全规则。 |
| 5046 | 不可用 | 低 | 对 IPsec 设置进行了更改。 添加了加密集。 |
| 5047 | 不可用 | 低 | 对 IPsec 设置进行了更改。 修改了加密集。 |
| 5048 | 不可用 | 低 | 对 IPsec 设置进行了更改。 删除了加密集。 |
| 5050 | 不可用 | 低 | 尝试通过调用 InetFwProfile.FirewallEnabled(False) 以编程方式禁用 Windows 防火墙 |
| 5051 | 不可用 | 低 | 文件已虚拟化。 |
| 5056 | 不可用 | 低 | 执行了加密自检。 |
| 5057 | 不可用 | 低 | 加密基元操作失败。 |
| 5058 | 不可用 | 低 | 重要文件操作。 |
| 5059 | 不可用 | 低 | 密钥迁移操作。 |
| 5060 | 不可用 | 低 | 验证操作失败。 |
| 5061 | 不可用 | 低 | 加密操作。 |
| 5062 | 不可用 | 低 | 执行了内核模式加密自检。 |
| 5063 | 不可用 | 低 | 尝试了加密提供程序操作。 |
| 5064 | 不可用 | 低 | 尝试了加密上下文操作。 |
| 5065 | 不可用 | 低 | 尝试了加密上下文修改。 |
| 5066 | 不可用 | 低 | 尝试了加密函数操作。 |
| 5067 | 不可用 | 低 | 尝试了加密函数修改。 |
| 5068 | 不可用 | 低 | 尝试了加密函数提供程序操作。 |
| 5069 | 不可用 | 低 | 尝试了加密函数属性操作。 |
| 5070 | 不可用 | 低 | 尝试了加密函数属性修改。 |
| 5125 | 不可用 | 低 | 请求已提交到 OCSP 响应程序服务 |
| 5126 | 不可用 | 低 | 签名证书已由 OCSP 响应程序服务自动更新 |
| 5127 | 不可用 | 低 | OCSP 吊销提供程序已成功更新吊销信息 |
| 5136 | 566 | 低 | 修改了目录服务对象。 |
| 5137 | 566 | 低 | 创建了目录服务对象。 |
| 5138 | 不可用 | 低 | 取消删除了目录服务对象。 |
| 5139 | 不可用 | 低 | 删除了目录服务对象。 |
| 5140 | 不可用 | 低 | 已访问网络共享对象。 |
| 5141 | 不可用 | 低 | 取消删除了目录服务对象。 |
| 5152 | 不可用 | 低 | Windows 筛选平台已禁止数据包。 |
| 5153 | 不可用 | 低 | 限制更严格的 Windows 筛选平台筛选器已禁止数据包。 |
| 5154 | 不可用 | 低 | Windows 筛选平台已允许应用程序或服务在端口上侦听传入连接。 |
| 5155 | 不可用 | 低 | Windows 筛选平台已禁止应用程序或服务在端口上侦听传入连接。 |
| 5156 | 不可用 | 低 | Windows 筛选平台已允许连接。 |
| 5157 | 不可用 | 低 | Windows 筛选平台已禁止连接。 |
| 5158 | 不可用 | 低 | Windows 筛选平台已允许绑定到本地端口。 |
| 5159 | 不可用 | 低 | Windows 筛选平台已禁止绑定到本地端口。 |
| 5378 | 不可用 | 低 | 策略禁止了所请求的凭据委派。 |
| 5440 | 不可用 | 低 | Windows 筛选平台基础筛选引擎启动时,存在以下标注。 |
| 5441 | 不可用 | 低 | Windows 筛选平台基本筛选引擎启动时,存在以下筛选器。 |
| 5442 | 不可用 | 低 | Windows 筛选平台基本筛选引擎启动时,存在以下提供程序。 |
| 5443 | 不可用 | 低 | Windows 筛选平台基本筛选引擎启动时,存在以下提供程序上下文。 |
| 5444 | 不可用 | 低 | Windows 筛选平台基本筛选引擎启动时,存在以下子层。 |
| 5446 | 不可用 | 低 | Windows 筛选平台标注已更改。 |
| 5447 | 不可用 | 低 | Windows 筛选平台筛选器已更改。 |
| 5448 | 不可用 | 低 | Windows 筛选平台提供程序已更改。 |
| 5449 | 不可用 | 低 | Windows 筛选平台提供程序上下文已更改。 |
| 5450 | 不可用 | 低 | Windows 筛选平台子层已更改。 |
| 5451 | 不可用 | 低 | 已建立 IPsec 快速模式安全关联。 |
| 5452 | 不可用 | 低 | IPsec 快速模式安全关联已结束。 |
| 5456 | 不可用 | 低 | PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略。 |
| 5457 | 不可用 | 低 | PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略。 |
| 5458 | 不可用 | 低 | PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本。 |
| 5459 | 不可用 | 低 | PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。 |
| 5460 | 不可用 | 低 | PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。 |
| 5461 | 不可用 | 低 | PAStore 引擎无法在计算机上应用本地注册表存储 IPsec 策略。 |
| 5462 | 不可用 | 低 | PAStore 引擎无法在计算机上应用活动 IPsec 策略的某些规则。 使用 IP 安全监视器管理单元来诊断问题。 |
| 5463 | 不可用 | 低 | PAStore 引擎轮询了活动 IPsec 策略的更改,未检测到任何更改。 |
| 5464 | 不可用 | 低 | PAStore 引擎轮询了对活动 IPsec 策略的更改、检测到更改并将其应用于 IPsec 服务。 |
| 5465 | 不可用 | 低 | PAStore 引擎收到了用于强制重新加载 IPsec 策略的控件,并已成功处理该控件。 |
| 5466 | 不可用 | 低 | PAStore 引擎轮询了 Active Directory IPsec 策略的更改,确定无法访问 Active Directory,并将改用 Active Directory IPsec 策略的缓存副本。 无法应用自上次轮询以来对 Active Directory IPsec 策略所做的任何更改。 |
| 5467 | 不可用 | 低 | PAStore 引擎轮询了 Active Directory IPsec 策略的更改,确定可以访问 Active Directory,且未发现策略有任何更改。 不再使用 Active Directory IPsec 策略的缓存副本。 |
| 5468 | 不可用 | 低 | PAStore 引擎轮询了 Active Directory IPsec 策略的更改,确定可以访问 Active Directory、找到策略更改并应用这些更改。 不再使用 Active Directory IPsec 策略的缓存副本。 |
| 5471 | 不可用 | 低 | PAStore 引擎在计算机上加载了本地存储 IPsec 策略。 |
| 5472 | 不可用 | 低 | PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。 |
| 5473 | 不可用 | 低 | PAStore 引擎在计算机上加载了目录存储 IPsec 策略。 |
| 5474 | 不可用 | 低 | PAStore 引擎无法在计算机上加载目录存储 IPsec 策略。 |
| 5477 | 不可用 | 低 | PAStore 引擎无法添加快速模式筛选器。 |
| 5479 | 不可用 | 低 | IPsec 服务已成功关闭。 关闭 IPsec Services 会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。 |
| 5632 | 不可用 | 低 | 请求向无线网络进行身份验证。 |
| 5633 | 不可用 | 低 | 请求向有线网络进行身份验证。 |
| 5712 | 不可用 | 低 | 已尝试执行远程过程调用 (RPC)。 |
| 5888 | 不可用 | 低 | 修改了 COM+ 目录中的对象。 |
| 5889 | 不可用 | 低 | 从 COM+ 目录中删除了对象。 |
| 5890 | 不可用 | 低 | 向 COM + 目录中添加了对象。 |
| 6008 | 不可用 | 低 | 上一次系统关闭是意外发生的 |
| 6144 | 不可用 | 低 | 已成功应用组策略对象中的安全策略。 |
| 6272 | 不可用 | 低 | 网络策略服务器授予用户访问权限。 |
| 不可用 | 561 | 低 | 请求某个对象的句柄。 |
| 不可用 | 563 | 低 | 打开对象以删除 |
| 不可用 | 625 | 低 | 用户帐户类型已更改 |
| 不可用 | 613 | 低 | IPsec 策略代理已启动 |
| 不可用 | 614 | 低 | IPsec 策略代理已禁用 |
| 不可用 | 615 | 低 | IPsec 策略代理 |
| 不可用 | 616 | 低 | IPsec 策略代理遇到潜在的严重故障 |
| 24577 | 不可用 | 低 | 已启动卷加密 |
| 24578 | 不可用 | 低 | 已停止卷加密 |
| 24579 | 不可用 | 低 | 已完成卷加密 |
| 24580 | 不可用 | 低 | 已启动卷解密 |
| 24581 | 不可用 | 低 | 已停止卷解密 |
| 24582 | 不可用 | 低 | 已完成卷解密 |
| 24583 | 不可用 | 低 | 已启动卷的转换工作线程 |
| 24584 | 不可用 | 低 | 卷的转换工作线程暂时停止 |
| 24588 | 不可用 | 低 | 卷 %2 的转换操作遇到坏扇区错误。 请验证此卷上的数据 |
| 24595 | 不可用 | 低 | 卷 %2 包含错误的群集。 转换期间将跳过这些群集。 |
| 24621 | 不可用 | 低 | 初始状态检查:滚动 %2 上的卷转换事务。 |
| 5049 | 不可用 | 低 | 已删除 IPsec 安全关联。 |
| 5478 | 不可用 | 低 | IPsec 服务已成功启动。 |
注意
若需查看多种安全事件 ID 及其含义的列表,请参阅 Windows 安全审核事件。
运行 wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true 以获取所有安全事件 ID 的详尽列表
有关 Windows 安全事件 ID 及其含义的详细信息,请参阅 Microsoft 支持文章基本安全审核策略设置。 还可以下载 Windows 安全审核事件,这些事件以电子表格的形式提供有关引用的操作系统的详细事件信息。