附录 L:事件监视器

适用范围:Windows Server 2022、Windows Server 2019、Windows Server

下表列出了应在环境中监视的事件,根据 监视 Active Directory 中针对入侵迹象提供的建议。 在下表中,“当前 Windows 事件 ID”列列出了在当前处于主流支持的 Windows 和 Windows Server 版本中实现的事件 ID。

“旧版 Windows 事件 ID”列列出了旧版 Windows 中的相应事件 ID,例如运行 Windows XP 或更早版本的客户端计算机以及运行 Windows Server 2003 或更早版本的服务器。 “潜在关键性”列标识事件在检测攻击时是否应考虑低、中或高严重性,“事件摘要”列提供事件的简要说明。

高的潜在严重性意味着应调查事件的一个匹配项。 中或低的潜在严重性意味着,仅当这些事件意外发生或以显著超过测量时间段内预期基线的数字发生时,才应调查这些事件。 创建需要强制调查响应的警报前,所有组织都应在自己的环境中测试这些建议。 每个环境都是不同的,某些按可能严重性排名的事件可能会因其他无害事件而发生。

当前 Windows 事件 ID 旧版 Windows 事件 ID 潜在严重程度 事件摘要
4618 空值 已发生受监视的安全事件模式。
4649 不适用 检测到重播攻击。 由于配置错误,可能是无害误报。
4719 612 系统审核策略已更改。
4765 空值 SID 历史记录已添加到帐户。
4766 空值 尝试将 SID 历史记录添加到帐户失败。
4794 空值 尝试设置目录服务还原模式。
4897 801 已启用角色分离:
4964 空值 已将特殊组分配到新的登录。
5124 空值 OCSP 响应程序服务上更新了安全设置
空值 550 中到高 可能的拒绝服务 (DoS) 攻击
1102 517 中到高 已清除审核日志
4621 不可用 中型 管理员从 CrashOnAuditFail 恢复了系统。 现在将允许非管理员用户登录。 某个可审核活动可能未记录。
4675 不可用 中型 已筛选 SID。
4692 不可用 中型 已尝试备份数据保护主密钥。
4693 不可用 中型 尝试恢复数据保护主密钥。
4706 610 已创建对域的新信任。
4713 617 Kerberos 策略已更改。
4714 618 已更改加密的数据恢复策略。
4715 不可用 中型 更改了对象上的审核策略 (SACL) 。
4716 620 已修改受信任的域信息。
4724 628 尝试重置帐户的密码。
4727 631 已创建启用了安全性的全局组。
4735 639 启用了安全的本地组已更改。
4737 641 启用了安全的全局组已更改。
4739 643 域策略已更改。
4754 658 已创建启用了安全性的通用组。
4755 659 启用了安全的通用组已更改。
4764 667 已删除安全禁用的组
4764 668 组的类型已更改。
4780 684 ACL 是在管理员组成员的帐户上设置的。
4816 不可用 中型 RPC 在解密传入消息时检测到完整性冲突。
4865 不可用 中型 添加了受信任的林信息条目。
4866 不可用 中型 已删除受信任的林信息条目。
4867 不可用 中型 修改了受信任的林信息条目。
4868 772 证书管理器已拒绝挂起的证书申请。
4870 774 证书服务已吊销证书。
4882 786 证书服务的安全权限已更改。
4885 789 证书服务的审核筛选器已更改。
4890 794 证书服务的证书管理器设置已更改。
4892 796 证书服务的属性已更改。
4896 800 已经从证书数据库删除一个或多个行。
4906 不可用 中型 CrashOnAuditFail 值已更改。
4907 不可用 中型 对象上的审核设置已更改。
4908 不可用 中型 修改的特殊组登录表。
4912 807 每个用户审核策略已更改。
4960 不可用 中型 IPsec 删除了未能进行完整性检查的入站数据包。 如果此问题仍然存在,则可能表示网络问题或正在修改数据包以传输到此计算机。 验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可能表示与其他 IPsec 实现的互操作性问题。
4961 不可用 中型 IPsec 删除了一个未能进行重播检查的入站数据包。 如果此问题仍然存在,则可能表示对此计算机进行重播攻击。
4962 不可用 中型 IPsec 删除了一个未能进行重播检查的入站数据包。 入站数据包的序列号太低,无法确保它不是重播。
4963 不可用 中型 IPsec 删除了应受到保护的入站明文数据包。 这通常是由于远程计算机更改其 IPsec 策略而不通知此计算机。 这也可能是欺骗攻击尝试。
4965 不可用 中型 IPsec 从远程计算机收到数据包,其安全参数索引不正确 (SPI) 。 这通常是由损坏数据包的硬件故障引起的。 如果这些错误仍然存在,请验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可能表示与其他 IPsec 实现的互操作性问题。 在这种情况下,如果连接不受阻碍,则可以忽略这些事件。
4976 不可用 中型 在主模式协商期间,IPsec 收到无效协商数据包。 如果此问题仍然存在,则可能表示网络问题或尝试修改或重播此协商。
4977 不可用 中型 在快速模式协商期间,IPsec 收到无效协商数据包。 如果此问题仍然存在,则可能表示网络问题或尝试修改或重播此协商。
4978 不可用 中型 在扩展模式协商期间,IPsec 收到了无效的协商数据包。 如果此问题仍然存在,则可能表示网络问题或尝试修改或重播此协商。
4983 不可用 中型 IPsec 扩展模式协商失败。 已删除相应的主模式安全关联。
4984 不可用 中型 IPsec 扩展模式协商失败。 已删除相应的主模式安全关联。
5027 不可用 中型 Windows 防火墙服务无法从本地存储检索安全策略。 该服务将继续强制实施当前策略。
5028 不可用 中型 Windows 防火墙服务无法分析新的安全策略。 该服务将继续强制实施当前策略。
5029 不可用 中型 Windows 防火墙服务无法初始化驱动程序。 该服务将继续强制实施当前策略。
5030 不可用 中型 Windows 防火墙服务无法启动。
5035 不可用 中型 Windows 防火墙驱动程序无法启动。
5037 不可用 中型 Windows 防火墙驱动程序检测到关键运行时错误。 正在终止。
5038 不可用 中型 代码完整性确定文件的图像哈希无效。 文件可能由于未经授权的修改而损坏,或者无效的哈希值可能表示潜在的磁盘设备错误。
5120 不可用 中型 OCSP 响应程序服务已启动
5121 不可用 中型 OCSP 响应程序服务已停止
5122 不可用 中型 OCSP 响应程序服务中的配置条目已更改
5123 不可用 中型 OCSP 响应程序服务中的配置条目已更改
5376 不可用 中型 凭据管理器凭据已备份。
5377 不可用 中型 凭据管理器凭据是从备份还原的。
5453 不可用 中型 与远程计算机的 IPsec 协商失败,因为 IKE 和 AuthIP IPsec 密钥模块 (IKEEXT) 服务未启动。
5480 不可用 中型 IPsec 服务无法获取计算机上的网络接口的完整列表。 这会带来潜在的安全风险,因为某些网络接口可能无法获得应用 IPsec 筛选器提供的保护。 使用 IP 安全监视器管理单元诊断问题。
5483 不可用 中型 IPsec 服务无法初始化 RPC 服务器。 无法启动 IPsec 服务。
5484 不可用 中型 IPsec 服务经历了严重故障,并且已关闭。 IPsec 服务的关闭可能会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。
5485 不可用 中型 IPsec 服务未能在网络接口的即插即用事件上处理某些 IPsec 筛选器。 这会带来潜在的安全风险,因为某些网络接口可能无法获得应用 IPsec 筛选器提供的保护。 使用 IP 安全监视器管理单元诊断问题。
5827 不可用 中型 Netlogon 服务拒绝从计算机帐户建立易受攻击的 Netlogon 安全通道连接。
5828 不可用 中型 Netlogon 服务拒绝使用信任帐户进行易受攻击的 Netlogon 安全通道连接。
6145 不可用 中型 在组策略对象中处理安全策略时发生一个或多个错误。
6273 不可用 中型 网络策略服务器拒绝访问用户。
6274 不可用 中型 网络策略服务器放弃了用户的请求。
6275 不可用 中型 网络策略服务器放弃了用户的会计请求。
6276 不可用 中型 网络策略服务器隔离了用户。
6277 不可用 中型 网络策略服务器授予了对用户的访问权限,但由于主机未满足定义的运行状况策略,因此将其置于缓刑状态。
6278 不可用 中型 网络策略服务器授予对用户的完全访问权限,因为主机满足定义的运行状况策略。
6279 不可用 中型 由于重复的身份验证尝试失败,网络策略服务器锁定了用户帐户。
6280 不可用 中型 网络策略服务器解锁了用户帐户。
- 640 常规帐户数据库已更改
- 619 服务质量策略已更改
24586 不可用 中型 转换卷时遇到错误
24592 不可用 中型 尝试在卷 %2 上自动重启转换失败。
24593 不可用 中型 元数据写入:尝试修改元数据时卷 %2 返回错误。 如果失败继续,解密卷
24594 不可用 中型 元数据重新生成:尝试在卷 %2 上写入元数据的副本失败,并可能显示为磁盘损坏。 如果失败继续,请解密卷。
4608 512 Windows 正在启动。
4609 513 Windows 正在关闭。
4610 514 本地安全机构已加载身份验证包。
4611 515 受信任的登录过程已注册到本地安全机构。
4612 516 为审核消息排队分配的内部资源已用尽,导致某些审核丢失。
4614 518 安全帐户管理器已加载通知包。
4615 519 LPC 端口的使用无效。
4616 520 系统时间已更改。
4622 不适用 本地安全机构已加载安全包。
4624 528,540 已成功登录帐户。
4625 529-537,539 帐户登录失败。
4634 538 帐户已注销。
4646 不适用 IKE DoS 防护模式已启动。
4647 551 用户启动注销。
4648 552 尝试使用显式凭据登录。
4650 不适用 已建立 IPsec 主模式安全关联。 未启用扩展模式。 未使用证书身份验证。
4651 不适用 已建立 IPsec 主模式安全关联。 未启用扩展模式。 证书用于身份验证。
4652 不适用 IPsec 主模式协商失败。
4653 不适用 IPsec 主模式协商失败。
4654 不适用 IPsec 快速模式协商失败。
4655 不适用 IPsec 主模式安全关联已结束。
4656 560 请求对象句柄。
4657 567 修改了注册表值。
4658 562 对象的句柄已关闭。
4659 不适用 请求删除对象的句柄。
4660 564 已删除对象。
4661 565 请求对象句柄。
4662 566 对对象执行了操作。
4663 567 尝试访问某个对象。
4664 不适用 尝试创建硬链接。
4665 空值 尝试创建应用程序客户端上下文。
4666 空值 应用程序尝试执行操作:
4667 空值 已删除应用程序客户端上下文。
4668 空值 应用程序已初始化。
4670 空值 对象的权限已更改。
4671 空值 应用程序尝试通过 TBS 访问阻止的序号。
4672 576 分配给新登录的特殊特权。
4673 577 调用了特权服务。
4674 578 尝试对特权对象执行操作。
4688 592 已创建一个新进程。
4689 593 进程已退出。
4690 594 尝试复制对象的句柄。
4691 595 请求间接访问对象。
4694 不适用 已尝试保护可审核的受保护数据。
4695 空值 尝试对可审核的受保护数据进行保护。
4696 600 已将主令牌分配给进程。
4697 601 尝试安装服务
4698 602 已创建计划任务。
4699 602 已删除计划的任务。
4700 602 已启用计划任务。
4701 602 已禁用计划任务。
4702 602 计划的任务已更新。
4704 608 分配了用户权限。
4705 609 删除了用户权限。
4707 611 已删除对域的信任。
4709 不适用 IPsec 服务已启动。
4710 空值 IPsec 服务已禁用。
4711 空值 可能包含以下任一项:在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本的 PAStore 引擎。 PAStore 引擎在计算机上应用 Active Directory 存储 IPsec 策略。 PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。 PAStore 引擎未能在计算机上应用 Active Directory 存储 IPsec 策略。 PAStore 引擎未能在计算机上应用本地注册表存储 IPsec 策略。 PAStore 引擎未能在计算机上应用活动 IPsec 策略的某些规则。 PAStore 引擎未能在计算机上加载目录存储 IPsec 策略。 PAStore 引擎在计算机上加载了目录存储 IPsec 策略。 PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。 PAStore 引擎在计算机上加载了本地存储 IPsec 策略。PAStore 引擎轮询了对活动 IPsec 策略的更改,并且未检测到任何更改。
4712 空值 IPsec 服务遇到潜在的严重故障。
4717 621 系统安全访问权限已授予帐户。
4718 622 系统安全访问权限已从帐户中删除。
4720 624 已创建用户帐户。
4722 626 已启用用户帐户。
4723 627 尝试更改帐户的密码。
4725 629 用户帐户已禁用。
4726 630 已删除用户帐户。
4728 632 成员已添加到启用了安全性的全局组。
4729 633 成员已从启用了安全性的全局组中删除。
4730 634 已删除启用了安全性的全局组。
4731 635 已创建启用了安全功能的本地组。
4732 636 成员已添加到启用了安全功能的本地组。
4733 637 成员已从启用了安全功能的本地组中删除。
4734 638 已删除启用了安全功能的本地组。
4738 642 用户帐户已更改。
4740 644 用户帐户被锁定。
4741 645 计算机帐户已更改。
4742 646 计算机帐户已更改。
4743 647 删除了计算机帐户。
4744 648 已创建安全禁用的本地组。
4745 649 已更改安全禁用的本地组。
4746 650 成员已添加到安全禁用的本地组。
4747 651 成员已从安全禁用的本地组中删除。
4748 652 已删除安全禁用的本地组。
4749 653 已创建安全禁用的全局组。
4750 654 已更改安全禁用的全局组。
4751 655 成员已添加到安全禁用的全局组。
4752 656 成员已从安全禁用的全局组中删除。
4753 657 已删除安全禁用的全局组。
4756 660 成员已添加到启用了安全性的通用组。
4757 661 成员已从启用了安全性的通用组中删除。
4758 662 已删除启用了安全性的通用组。
4759 663 已创建安全禁用的通用组。
4760 664 已更改安全禁用的通用组。
4761 665 成员已添加到安全禁用的通用组。
4762 666 成员已从禁用安全通用组中删除。
4767 671 用户帐户已解锁。
4768 672,676 请求了 Kerberos 身份验证票证 (TGT) 。
4769 673 请求 Kerberos 服务票证。
4770 674 已续订 Kerberos 服务票证。
4771 675 Kerberos 预身份验证失败。
4772 672 Kerberos 身份验证票证请求失败。
4774 678 已映射帐户进行登录。
4775 679 无法映射帐户进行登录。
4776 680,681 域控制器尝试验证帐户的凭据。
4777 空值 域控制器未能验证帐户的凭据。
4778 682 会话已重新连接到窗口工作站。
4779 683 会话已与窗口工作站断开连接。
4781 685 帐户的名称已更改:
4782 空值 访问了帐户的密码哈希。
4783 667 已创建基本应用程序组。
4784 不适用 基本应用程序组已更改。
4785 689 成员已添加到基本应用程序组。
4786 690 成员已从基本应用程序组中删除。
4787 691 已将非member 添加到基本应用程序组。
4788 692 从基本应用程序组中删除了非member。
4789 693 删除了基本应用程序组。
4790 694 已创建 LDAP 查询组。
4793 不适用 调用了密码策略检查 API。
4800 空值 工作站已锁定。
4801 不适用 工作站已解锁。
4802 空值 已调用屏幕保护程序。
4803 空值 屏幕保存程序已关闭。
4864 不适用 检测到命名空间冲突。
4869 773 证书服务收到重新提交的证书申请。
4871 775 证书服务收到发布证书吊销列表 (CRL) 的申请。
4872 776 证书服务已发布证书吊销列表 (CRL)。
4873 777 证书申请扩展已更改。
4874 778 一个或多个证书申请属性已更改。
4875 779 证书服务收到执行关闭操作的申请。
4876 780 证书服务备份已启动。
4877 781 证书服务备份已完成。
4878 782 证书服务还原已启动。
4879 783 证书服务还原已完成。
4880 784 证书服务已启动。
4881 785 证书服务已停止。
4883 787 证书服务检索到存档的密钥。
4884 788 证书服务已将证书导入到其数据库中。
4886 790 证书服务收到证书申请。
4887 791 证书服务已批准证书申请并颁发证书。
4888 792 证书服务已拒绝证书申请。
4889 793 证书服务将证书申请的状态设置为挂起。
4891 795 证书服务中的配置项已更改。
4893 797 证书服务已存档密钥。
4894 798 证书服务已导入并存档密钥。
4895 799 证书服务将 CA 证书发布到 Active Directory 域服务。
4898 802 证书服务已加载模板。
4902 空值 已创建每用户审核策略表。
4904 不适用 尝试注册安全事件源。
4905 不适用 尝试注销安全事件源。
4909 不适用 已更改 TBS 的本地策略设置。
4910 空值 已更改 TBS 的组策略设置。
4928 空值 已建立 Active Directory 副本源命名上下文。
4929 空值 已删除 Active Directory 副本源命名上下文。
4930 空值 修改了 Active Directory 副本源命名上下文。
4931 空值 已修改 Active Directory 副本目标命名上下文。
4932 空值 Active Directory 命名上下文的副本同步已经开始。
4933 空值 Active Directory 命名上下文的副本同步已结束。
4934 空值 复制了 Active Directory 对象的属性。
4935 空值 复制失败开始。
4936 空值 复制失败结束。
4937 空值 从副本中删除了一个挥之不去的对象。
4944 不适用 Windows 防火墙启动时,以下策略处于活动状态。
4945 空值 Windows 防火墙启动时列出了规则。
4946 空值 已对 Windows 防火墙例外列表进行更改。 已添加规则。
4947 不适用 已对 Windows 防火墙例外列表进行更改。 已修改规则。
4948 不适用 已对 Windows 防火墙例外列表进行更改。 已删除规则。
4949 不适用 Windows 防火墙设置已还原到默认值。
4950 空值 Windows 防火墙设置已更改。
4951 空值 由于 Windows 防火墙无法识别其主版本号,因此忽略了规则。
4952 空值 规则的某些部分已被忽略,因为 Windows 防火墙无法识别其次要版本号。 将强制实施规则的其他部分。
4953 空值 Windows 防火墙已忽略规则,因为它无法分析规则。
4954 不适用 Windows 防火墙组策略设置已更改。 已应用新设置。
4956 不适用 Windows 防火墙已更改活动配置文件。
4957 不适用 Windows 防火墙未应用以下规则:
4958 不适用 Windows 防火墙未应用以下规则,因为此计算机上未配置的项目的规则:
4979 不适用 已建立 IPsec 主模式和扩展模式安全关联。
4980 不适用 已建立 IPsec 主模式和扩展模式安全关联。
4981 不适用 已建立 IPsec 主模式和扩展模式安全关联。
4982 空值 已建立 IPsec 主模式和扩展模式安全关联。
4985 空值 事务的状态已更改。
5024 空值 Windows 防火墙服务已成功启动。
5025 不适用 Windows 防火墙服务已停止。
5031 不适用 Windows 防火墙服务阻止应用程序接受网络上的传入连接。
5032 空值 Windows 防火墙无法通知用户它阻止应用程序接受网络上的传入连接。
5033 空值 Windows 防火墙驱动程序已成功启动。
5034 空值 Windows 防火墙驱动程序已停止。
5039 空值 已虚拟化注册表项。
5040 空值 已对 IPsec 设置进行更改。 添加了身份验证集。
5041 空值 已对 IPsec 设置进行更改。 已修改身份验证集。
5042 空值 已对 IPsec 设置进行更改。 已删除身份验证集。
5043 空值 已对 IPsec 设置进行更改。 添加了连接安全规则。
5044 空值 已对 IPsec 设置进行更改。 已修改连接安全规则。
5045 空值 对 IPsec 设置进行了更改。 删除了连接安全规则。
5046 不适用 对 IPsec 设置进行了更改。 添加了加密集。
5047 空值 对 IPsec 设置进行了更改。 已修改加密集。
5048 空值 对 IPsec 设置进行了更改。 已删除加密集。
5050 空值 尝试使用调用 InetFwProfile.FirewallEnabled (False) 以编程方式禁用 Windows 防火墙
5051 空值 文件已虚拟化。
5056 空值 已执行加密自测试。
5057 空值 加密基元操作失败。
5058 空值 密钥文件操作。
5059 不适用 密钥迁移操作。
5060 空值 验证操作失败。
5061 不适用 加密操作。
5062 不适用 已执行内核模式加密自测试。
5063 空值 尝试了加密提供程序操作。
5064 不适用 尝试了加密上下文操作。
5065 不适用 尝试进行加密上下文修改。
5066 空值 已尝试加密函数操作。
5067 空值 尝试了加密函数修改。
5068 空值 已尝试加密函数提供程序操作。
5069 不适用 已尝试加密函数属性操作。
5070 不适用 尝试了加密函数属性修改。
5125 空值 请求已提交到 OCSP 响应程序服务
5126 不适用 签名证书由 OCSP 响应程序服务自动更新
5127 不适用 OCSP 吊销提供程序已成功更新吊销信息
5136 566 修改了目录服务对象。
5137 566 已创建目录服务对象。
5138 不适用 目录服务对象未取消删除。
5139 不适用 移动了目录服务对象。
5140 不适用 已访问网络共享对象。
5141 不适用 已删除目录服务对象。
5152 不适用 Windows 筛选平台阻止了数据包。
5153 空值 更严格的 Windows 筛选平台筛选器已阻止数据包。
5154 不适用 Windows 筛选平台已允许应用程序或服务侦听传入连接的端口。
5155 不适用 Windows 筛选平台已阻止应用程序或服务侦听传入连接的端口。
5156 不适用 Windows 筛选平台已允许连接。
5157 空值 Windows 筛选平台已阻止连接。
5158 空值 Windows 筛选平台已允许绑定到本地端口。
5159 不适用 Windows 筛选平台已阻止绑定到本地端口。
5378 空值 请求的凭据委派被策略禁止。
5440 空值 Windows 筛选平台基础筛选引擎启动时,会出现以下标注。
5441 不适用 Windows 筛选平台基础筛选引擎启动时存在以下筛选器。
5442 空值 Windows 筛选平台基础筛选引擎启动时,存在以下提供程序。
5443 空值 Windows 筛选平台基础筛选引擎启动时存在以下提供程序上下文。
5444 空值 Windows 筛选平台基础筛选引擎启动时存在以下子层。
5446 空值 Windows 筛选平台标注已更改。
5447 空值 Windows 筛选平台筛选器已更改。
5448 不适用 Windows 筛选平台提供程序已更改。
5449 不适用 Windows 筛选平台提供程序上下文已更改。
5450 空值 Windows 筛选平台子层已更改。
5451 不适用 已建立 IPsec 快速模式安全关联。
5452 不适用 IPsec 快速模式安全关联已结束。
5456 空值 PAStore 引擎在计算机上应用 Active Directory 存储 IPsec 策略。
5457 空值 PAStore 引擎未能在计算机上应用 Active Directory 存储 IPsec 策略。
5458 不适用 PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本。
5459 不适用 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。
5460 空值 PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。
5461 不适用 PAStore 引擎未能在计算机上应用本地注册表存储 IPsec 策略。
5462 空值 PAStore 引擎未能在计算机上应用活动 IPsec 策略的某些规则。 使用 IP 安全监视器管理单元诊断问题。
5463 空值 PAStore 引擎轮询了对活动 IPsec 策略的更改,并且未检测到任何更改。
5464 空值 PAStore 引擎轮询了对活动 IPsec 策略的更改、检测到的更改并将其应用于 IPsec 服务。
5465 空值 PAStore 引擎收到了强制重新加载 IPsec 策略的控件,并已成功处理该控件。
5466 不适用 针对 Active Directory IPsec 策略更改轮询的 PAStore 引擎,确定无法访问 Active Directory,并将改用 Active Directory IPsec 策略的缓存副本。 自上次轮询以来对 Active Directory IPsec 策略所做的任何更改都无法应用。
5467 不适用 针对 Active Directory IPsec 策略的更改轮询的 PAStore 引擎,确定可以访问 Active Directory,并且找不到对策略的更改。 不再使用 Active Directory IPsec 策略的缓存副本。
5468 空值 针对 Active Directory IPsec 策略的更改轮询的 PAStore 引擎,确定可以访问 Active Directory、找到对策略的更改并应用这些更改。 不再使用 Active Directory IPsec 策略的缓存副本。
5471 空值 PAStore 引擎在计算机上加载了本地存储 IPsec 策略。
5472 不适用 PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。
5473 空值 PAStore 引擎在计算机上加载了目录存储 IPsec 策略。
5474 空值 PAStore 引擎未能在计算机上加载目录存储 IPsec 策略。
5477 空值 PAStore 引擎无法添加快速模式筛选器。
5479 空值 IPsec 服务已成功关闭。 IPsec 服务的关闭可能会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。
5632 空值 向无线网络进行身份验证的请求。
5633 空值 已发出向有线网络进行身份验证的请求。
5712 空值 尝试远程过程调用 (RPC) 。
5888 空值 修改了 COM+ 目录中的对象。
5889 不适用 对象已从 COM+ 目录中删除。
5890 不适用 对象已添加到 COM+ 目录。
6008 空值 以前的系统关闭是意外的
6144 空值 已成功应用组策略对象中的安全策略。
6272 空值 网络策略服务器授予对用户的访问权限。
空值 561 请求对象句柄。
空值 563 对象打开以供删除
空值 625 用户帐户类型已更改
空值 613 IPsec 策略代理已启动
空值 614 IPsec 策略代理已禁用
空值 615 IPsec 策略代理
不适用 616 IPsec 策略代理遇到潜在的严重故障
24577 空值 卷加密已启动
24578 不适用 卷加密已停止
24579 不适用 已完成卷加密
24580 不适用 已启动卷解密
24581 不适用 已停止卷解密
24582 不适用 已完成卷解密
24583 不适用 卷的转换工作线程已启动
24584 不适用 暂时停止卷的转换工作线程
24588 不适用 卷 %2 上的转换操作遇到扇区错误。 请验证此卷上的数据
24595 不适用 卷 %2 包含错误的群集。 转换期间将跳过这些群集。
24621 不适用 初始状态检查:在 %2 上滚动卷转换事务。
5049 不适用 删除了 IPsec 安全关联。
5478 空值 IPsec 服务已成功启动。

注意

有关许多安全事件 ID 及其含义的列表,请参阅 Windows 安全审核事件

运行 wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true 以获取所有安全事件 ID 的非常详细的列表

有关 Windows 安全事件 ID 及其含义的详细信息,请参阅 Microsoft 支持文章 “基本安全审核策略设置”。 还可以下载 Windows 安全审核事件,该事件以电子表格格式为引用的操作系统提供详细的事件信息。