【Windows日志】记录系统事件的日志
生活随笔
收集整理的這篇文章主要介紹了
【Windows日志】记录系统事件的日志
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
文章目錄
- 一、概要
- 二、Windows日志介紹
-
- 2.1 應用程序日志
- 2.2 系統日志
- 2.3 安全日志
- 三、查看與分析日志
- 四、常見事件ID
-
- 4.1 登錄事件
-
- 4.1.1 4624登陸成功
- 4.1.2 4625登陸失敗
- 4.2 特權使用
- 4.3 賬戶管理事件
- 4.4 賬戶登錄事件
- 5.2 事件ID匯總
一、概要
Windows主要有以下三類日志記錄系統事件:應用程序日志、系統日志和安全日志。
系統和應用程序日志存儲著故障排除信息,對于系統管理員更為有用。
安全日志記錄著事件審計信息,包括用戶驗證(登錄、遠程訪問等)和特定用戶在認證后對系統做了什么,對于 調查人員而言,更有幫助。
其他日志:
除了應用程序日志、系統日志和安全日志以外,一些特殊的系統服務配置可能也會產生其他日志文件,例如Powershell日志、WWW日志、FTP日志,DNS服務器日志等。
查看記錄系統事件的日志:
WIN+R打開運行框,運行eventvwr.msc命令,打開事件查看器
- 查看windows 日志,分析windows 日志時, 主要是查看安全日志,分析是否存通過暴力破解、橫向傳遞等安全事件,定位惡意IP地址、事件發生時間等。
二、Windows日志介紹
2.1 應用程序日志
應用程序日志包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件,例如數據庫程序可以在應用程序日志中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那么我們可以從程序事件日志中找到相應的記錄,也許會有助于你解決問題。
默認位置:C:\Windows\System32\Winevt\Logs\Application.evtx
2.2 系統日志
系統日志記錄操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等
默認位置:C:\Windows\System32\Winevt\Logs\System.evtx
2.3 安全日志
安全日志記錄系統的安全審計事件,包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。安全日志也是調查取證中最常用到的日志。默認設置下,安全性日志是關閉的,管理員可以使用組策略來啟動安全性日志,或者在注冊表中設置審核策略,以便當安全性日志滿后使系統停止響應。
默認位置:C:\Windows\System32\Winevt\Logs\Security.evtx
三、查看與分析日志
事件ID是區分系統事件的一個重要字段,在事件查看器中可以通過事件ID篩選日志(本文將在第四章對事件ID進行總計梳理)
以4624(登陸成功)事件為例,看一下日志信息:
查看系統登錄日志時,重點關注以下字段信息。
- 事件ID:4624(登錄成功)和4625(登錄失敗)。
- 登錄類型:根據登錄類型分析登錄操作來源。
- 賬戶名:登錄操作時使用的賬戶名。
- 源網絡地址:登錄操作來源IP。
- 進程信息:登錄操作調用的進程。
四、常見事件ID
Windows安全事件最常用的事件ID:
| 事件ID | 說明 | 備注 |
|---|---|---|
| 1074 | 計算機開機、關機、重啟的時間、原因、注釋 | 查看異常關機情況 |
| 1102 | 清理審計日志 | 發現篡改事件日志的用戶 |
| 4624 | 登錄成功 | 檢測異常的未經授權的登錄 |
| 4625 | 登陸失敗 | 檢測可能的暴力密碼攻擊 |
| 4632 | 成員已添加到啟用安全性的本地組 | 檢測濫用授權用戶行為 |
| 4634 | 注銷用戶 | |
| 4648 | 試圖使用顯式憑據登錄 | |
| 4657 | 注冊表值被修改 | |
| 4663 | 嘗試訪問對象 | 檢測未經授權訪問文件和文件夾的行為。 |
| 4672 | administrator超級管理員登錄(被賦予特權) | |
| 4698 | 計劃任務已創建 | |
| 4699 | 計劃任務已刪除 | |
| 4700 | 啟用計劃任務 | |
| 4701 | 禁用計劃任務 | |
| 4702 | 更新計劃任務 | |
| 4720 | 創建用戶 | |
| 4726 | 刪除用戶 | |
| 4728 | 成員已添加到啟用安全性的全局組 | 確保添加安全組成員的資格信息 |
| 4740 | 鎖定用戶賬戶 | 檢測可能的暴力密碼攻擊 |
| 4756 | 成員已添加到啟用安全性的通用組 | |
| 6005 | 表示日志服務已經啟動(表明系統正常啟動了) | 查看系統啟動情況 |
| 6006 | 表示日志服務已經停止(如果在某天沒看到6006事件,說明出現關機異常事件了) | 查看異常關機情況 |
| 6009 | 非正常關機(ctrl+alt+delete關機) |
4.1 登錄事件
| 事件ID | 說明 |
|---|---|
| 4624 | 登陸成功 |
| 4625 | 登錄失敗 |
| 4634 | 用戶注銷 |
| 4647 | 用戶啟動了注銷過程。 |
| 4648 | 用戶已成功使用顯式憑據登錄到計算機,而該用戶已以其他用戶身份登錄。 |
| 4779 | 用戶在未注銷的情況下斷開了終端服務器會話的連接。 |
4.1.1 4624登陸成功
登陸成功事件中將包含以下信息,其中需要特別關注賬戶名稱、登陸類型、進程名稱、源網絡地址:
已成功登錄帳戶。使用者:安全 ID: SYSTEM帳戶名稱: LAPTOP-TU29M93M$帳戶域: WORKGROUP登錄 ID: 0x3E7登錄信息:登錄類型: 5受限制的管理員模式: -虛擬帳戶: 否提升的令牌: 是模擬級別: 模擬新登錄:安全 ID: SYSTEM帳戶名稱: SYSTEM帳戶域: NT AUTHORITY登錄 ID: 0x3E7鏈接的登錄 ID: 0x0網絡帳戶名稱: -網絡帳戶域: -登錄 GUID: {00000000-0000-0000-0000-000000000000}進程信息:進程 ID: 0x4c8進程名稱: C:\Windows\System32\services.exe網絡信息:工作站名稱: -源網絡地址: -源端口: -詳細的身份驗證信息:登錄進程: Advapi 身份驗證數據包: Negotiate傳遞的服務: -數據包名(僅限 NTLM): -密鑰長度: 0
- “使用者”字段指示本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。
- “登錄類型”字段指示發生的登錄類型。最常見的類型是 2 (交互式)和 3 (網絡)。
- “新登錄”字段指示新登錄是為哪個帳戶創建的,即已登錄的帳戶。
- “網絡”字段指示遠程登錄請求源自哪里。“工作站名稱”并非始終可用,并且在某些情況下可能會留空
- “模擬級別”字段指示登錄會話中的進程可以模擬到的程度。
- “身份驗證信息”字段提供有關此特定登錄請求的詳細信息。
- “登錄 GUID”是可用于將此事件與 KDC 事件關聯起來的唯一標識符。
-“傳遞的服務”指示哪些中間服務參與了此登錄請求。
-“數據包名”指示在 NTLM 協議中使用了哪些子協議。
-“密鑰長度”指示生成的會話密鑰的長度。如果沒有請求會話密鑰,則此字段將為 0。
在登錄信息中可以根據登陸類型來區分登錄者到底是從本地登錄,還是從網絡登錄,以及其它更多的登錄方式。因為了解了這些登錄方式,將有助于從事件日志中發現可疑的黑客行為,并能夠判斷其攻擊方式。以下列舉了常見的登陸類型:
| 登錄類型 | 登錄標題 | 說明 | 備注 |
|---|---|---|---|
| 2 | 交互 | 本地登錄 | 控制臺登錄; RUNAS(沒帶/Netonly參數) 硬件遠程控制解決方案(如網絡** KVM **或遠程訪問/服務器中的無人照看卡) IIS 基本身份驗證(低于 IIS 6.0) |
| 3 | 網絡 | 從網絡登錄到此計算機 | 例如連接共享文件或共享打印機 |
| 4 | 批處理 | 批處理登錄類型由批處理服務器使用,其中進程可以代表用戶執行,而無需用戶直接干預。 | |
| 5 | 服務 | 服務控制管理器已啟動服務。 | 開機之后通常會伴隨許多服務類型的登錄 |
| 7 | 解除鎖定 | 已解鎖此工作站 | 睡眠模式之后的登錄 |
| 8 | NetworkCleartext | 從網絡登錄到此計算機的用戶。 用戶的密碼以未經過哈希處理的形式傳遞給驗證包。 內置的身份驗證將所有哈希憑證打包,然后再通過網絡發送它們。 憑據不會以純文本(也稱為明文)形式遍歷網絡。 | IIS 基本身份驗證(IIS 6.0 和更高版本); Windows PowerShell(具有 CredSSP) |
| 9 | NewCredentials | 調用方克隆了其當前密碼并為出站連接指定了新憑據。 新登錄會話具有相同的本地標識,但對其他網絡連接使用不同的憑據。 | 當你使用帶**/Netonly**參數的RUNAS命令運行一個程序時(沒帶/Netonly參數的RUNAS命令被標記為2) |
| 10 | RemoteInteractive | 使用終端服務或遠程桌面遠程登錄到此計算機的用戶。 | 遠程登錄 |
| 11 | CachedInteractive | 使用存儲在計算機上的本地網絡憑據登錄到此計算機的用戶。 未聯系域控制器以驗證憑據。 |
更多關于4624登錄成功的詳細字段解析請參閱https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4624
4.1.2 4625登陸失敗
登陸失敗事件中將包含以下信息,其中需要特別關注賬戶名稱、登陸類型、失敗信息、調用方進程名稱、源網絡地址:
帳戶登錄失敗。使用者:安全 ID: SYSTEM帳戶名: LAPTOP-TU29M93M$帳戶域: WORKGROUP登錄 ID: 0x3E7登錄類型: 2登錄失敗的帳戶:安全 ID: NULL SID帳戶名: JSSLRKS帳戶域: LAPTOP-TU29M93M失敗信息:失敗原因: 未知用戶名或密碼錯誤。狀態: 0xC000006D子狀態: 0xC000006A進程信息:調用方進程 ID: 0x4e8調用方進程名: C:\Windows\System32\svchost.exe網絡信息:工作站名: LAPTOP-TU29M93M源網絡地址: 127.0.0.1源端口: 0詳細身份驗證信息:登錄進程: User32 身份驗證數據包: Negotiate傳遞服務: -數據包名(僅限 NTLM): -密鑰長度: 0
- “使用者”字段指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。
- “登錄類型”字段指明發生的登錄的種類。最常見的類型是 2 (交互式)和 3 (網絡)。
- “進程信息”字段表明系統上的哪個帳戶和進程請求了登錄。
- “網絡信息”字段指明遠程登錄請求來自哪里。“工作站名”并非總是可用,而且在某些情況下可能會留為空白。
- “身份驗證信息”字段提供關于此特定登錄請求的詳細信息。
-“傳遞服務”指明哪些直接服務參與了此登錄請求。
-“數據包名”指明在 NTLM 協議之間使用了哪些子協議。
-“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰,則此字段為 0。
4625登陸失敗事件的子狀態碼表示登陸失敗的原因,在此整理常見的子狀態碼:
| 子狀態碼 | 描述 |
|---|---|
| 0XC000005E | 當前沒有可用于服務登錄請求的登錄服務器。 |
| 0xC0000064 | 用戶使用拼寫錯誤或錯誤用戶帳戶進行登錄 |
| 0xC000006A | 用戶使用拼寫錯誤或錯誤密碼進行登陸 |
| 0XC000006D | 原因可能是用戶名或身份驗證信息錯誤 |
| 0XC000006E | 指示引用的用戶名和身份驗證信息有效,但某些用戶帳戶限制阻止了成功的身份驗證(例如時間限制)。 |
| 0xC000006F | 用戶在授權時間之外登錄 |
| 0xC0000070 | 用戶從未經授權的工作站登錄 |
| 0xC0000071 | 用戶使用過期密碼登錄 |
| 0xC0000072 | 用戶登錄到管理員已禁用的帳戶 |
| 0XC00000DC | 指示 Sam 服務器處于錯誤狀態,無法執行所需操作。 |
| 0XC0000133 | DC 和其他計算機之間的時鐘完全不同步 |
| 0XC000015B | 此計算機上尚未授予用戶請求的登錄類型(也稱為_登錄權限_) |
| 0XC000018C | 登錄請求失敗,因為主域和受信任域之間的信任關系失敗。 |
| 0XC0000192 | 嘗試登錄,但 Netlogon 服務未啟動。 |
| 0xC0000193 | 用戶使用過期帳戶登錄 |
| 0XC0000224 | 用戶需要在下次登錄時更改密碼 |
| 0XC0000225 | 很明顯,這是 Windows 中的錯誤而非風險 |
| 0xC0000234 | 帳戶已鎖定的用戶登錄 |
| 0XC00002EE | 失敗原因:登錄時出錯 |
| 0XC0000413 | 登錄失敗:登錄的計算機受身份驗證防火墻保護。 不允許指定的帳戶對計算機進行身份驗證。 |
| 0x0 | 狀態正常。 |
更多關于4625登錄失敗的詳細字段解析請參閱https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4625
4.2 特權使用
| 事件ID | 說明 |
|---|---|
| 4672 | 給新登錄分配特權 |
| 4673 | 要求特權服務 |
| 4674 | 試圖對特權對象嘗試操作 |
4.3 賬戶管理事件
帳戶管理事件的示例包括:
- 創建、更改或刪除用戶帳戶或組。
- 用戶帳戶已重命名、禁用或啟用。
- 設置或更改密碼。
| 事件ID | 說明 |
|---|---|
| 4720 | 已創建用戶帳戶。 |
| 4723 | 用戶密碼已更改。 |
| 4724 | 設置了用戶密碼。 |
| 4726 | 已刪除用戶帳戶。 |
| 4727 | 創建了一個全局組。 |
| 4728 | 已將成員添加到全局組。 |
| 4729 | 從全局組中刪除了一個成員。 |
| 4730 | 已刪除全局組。 |
| 4731 | 創建了一個新的本地組。 |
| 4732 | 一個成員已添加到本地組。 |
| 4733 | 從本地組中刪除了一個成員。 |
| 4734 | 已刪除本地組。 |
| 4735 | 本地組帳戶已更改。 |
| 4737 | 已更改全局組帳戶。 |
| 4738 | 用戶帳戶已更改。 |
| 4739 | 修改了域策略。 |
| 4740 | 用戶帳戶已自動鎖定。 |
| 4741 | 已創建計算機帳戶。 |
| 4742 | 計算機帳戶已更改。 |
| 4743 | 已刪除計算機帳戶。 |
| 4744 | 創建了禁用了安全性的本地安全組。 注意: 正式名稱中的SECURITY_DISABLED意味著無法使用此組在訪問檢查中授予權限 |
| 4745 | 已更改禁用安全性的本地安全組。 |
| 4746 | 已將一名成員添加到安全禁用的本地安全組。 |
| 4747 | 從安全禁用的本地安全組中刪除了一名成員。 |
| 4748 | 已刪除安全禁用的本地組。 |
| 4749 | 已創建安全禁用的全局組。 |
| 4750 | 已更改安全禁用的全局組。 |
| 4751 | 已將一名成員添加到安全禁用的全局組。 |
| 4752 | 成員已從安全禁用的全局組中刪除。 |
| 4753 | 已刪除安全禁用的全局組。 |
| 4754 | 已創建啟用安全性的通用組。 |
| 4755 | 已更改啟用安全的通用組。 |
| 4756 | 成員已添加到已啟用安全的通用組。 |
| 4757 | 成員已從啟用安全的通用組中刪除。 |
| 4758 | 已刪除已啟用安全性的通用組。 |
| 4759 | 已創建安全禁用的通用組。 |
| 4760 | 已更改安全禁用的通用組。 |
| 4761 | 成員已添加到安全禁用的通用組。 |
| 4762 | 成員已從安全禁用的通用組中刪除。 |
| 4763 | 已刪除安全禁用的通用組。 |
| 4764 | 組類型已更改。 |
| 4780 | 設置管理組成員的安全描述符。 |
| 685 | 設置管理組成員的安全描述符。 注意: 后臺線程每 60 分鐘在域控制器上搜索 (管理組的所有成員,例如域、企業和架構管理員) ,并在其上應用固定的安全描述符。 記錄此事件。 |
4.4 賬戶登錄事件
在域控制器上對域用戶帳戶進行身份驗證時,將生成帳戶登錄事件, 事件記錄在域控制器的安全日志中。
當本地用戶在本地計算機上進行身份驗證時,將生成登錄事件。 事件記錄在本地安全日志中。
| 事件ID | 說明 |
|---|---|
| 672 | 已成功頒發和驗證身份驗證服務 (AS) 票證。 |
| 673 | 已授予 (TGS) 票證的票證授予服務。 |
| 674 | 安全主體續訂了 AS 票證或 TGS 票證。 |
| 675 | 預身份驗證失敗。 當用戶鍵入不正確的密碼時,密鑰分發中心 (KDC) 上生成此事件。 |
| 676 | 身份驗證票證請求失敗。 此事件不會在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 677 | 未授予 TGS 票證。 此事件不會在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 678 | 已成功映射到域帳戶的帳戶。 |
| 681 | 登錄失敗。 嘗試了域帳戶登錄。 此事件不會在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 682 | 用戶已重新連接到斷開連接的終端服務器會話。 |
| 683 | 用戶在未注銷的情況下斷開終端服務器會話的連接。 |
5.2 事件ID匯總
(參考:https://blog.csdn.net/qq_45825991/article/details/115577680):
EVENT_ID 安全事件信息
1100 ----- 事件記錄服務已關閉
1101 ----- 審計事件已被運輸中斷。
1102 ----- 審核日志已清除
1104 ----- 安全日志現已滿
1105 ----- 事件日志自動備份
1108 ----- 事件日志記錄服務遇到錯誤
4608 ----- Windows正在啟動
4609 ----- Windows正在關閉
4610 ----- 本地安全機構已加載身份驗證包
4611 ----- 已向本地安全機構注冊了受信任的登錄進程
4612 ----- 為審計消息排隊分配的內部資源已經用盡,導致一些審計丟失。
4614 ----- 安全帳戶管理器已加載通知包。
4615 ----- LPC端口使用無效
4616 ----- 系統時間已更改。
4618 ----- 已發生受監視的安全事件模式
4621 ----- 管理員從CrashOnAuditFail恢復了系統
4622 ----- 本地安全機構已加載安全包。
4624 ----- 帳戶已成功登錄
4625 ----- 帳戶無法登錄
4626 ----- 用戶/設備聲明信息
4627 ----- 集團會員信息。
4634 ----- 帳戶已注銷
4646 ----- IKE DoS防護模式已啟動
4647 ----- 用戶啟動了注銷
4648 ----- 使用顯式憑據嘗試登錄
4649 ----- 檢測到重播攻擊
4650 ----- 建立了IPsec主模式安全關聯
4651 ----- 建立了IPsec主模式安全關聯
4652 ----- IPsec主模式協商失敗
4653 ----- IPsec主模式協商失敗
4654 ----- IPsec快速模式協商失敗
4655 ----- IPsec主模式安全關聯已結束
4656 ----- 請求了對象的句柄
4657 ----- 注冊表值已修改
4658 ----- 對象的句柄已關閉
4659 ----- 請求刪除對象的句柄
4660 ----- 對象已刪除
4661 ----- 請求了對象的句柄
4662 ----- 對對象執行了操作
4663 ----- 嘗試訪問對象
4664 ----- 試圖創建一個硬鏈接
4665 ----- 嘗試創建應用程序客戶端上下文。
4666 ----- 應用程序嘗試了一個操作
4667 ----- 應用程序客戶端上下文已刪除
4668 ----- 應用程序已初始化
4670 ----- 對象的權限已更改
4671 ----- 應用程序試圖通過TBS訪問被阻止的序號
4672 ----- 分配給新登錄的特權
4673 ----- 特權服務被召喚
4674 ----- 嘗試對特權對象執行操作
4675 ----- SID被過濾掉了
4688 ----- 已經創建了一個新流程
4689 ----- 一個過程已經退出
4690 ----- 嘗試復制對象的句柄
4691 ----- 請求間接訪問對象
4692 ----- 嘗試備份數據保護主密鑰
4693 ----- 嘗試恢復數據保護主密鑰
4694 ----- 試圖保護可審計的受保護數據
4695 ----- 嘗試不受保護的可審計受保護數據
4696 ----- 主要令牌已分配給進程
4697 ----- 系統中安裝了一項服務
4698 ----- 已創建計劃任務
4699 ----- 計劃任務已刪除
4700 ----- 已啟用計劃任務
4701 ----- 計劃任務已禁用
4702 ----- 計劃任務已更新
4703 ----- 令牌權已經調整
4704 ----- 已分配用戶權限
4705 ----- 用戶權限已被刪除
4706 ----- 為域創建了新的信任
4707 ----- 已刪除對域的信任
4709 ----- IPsec服務已啟動
4710 ----- IPsec服務已禁用
4711 ----- PAStore引擎(1%)
4712 ----- IPsec服務遇到了潛在的嚴重故障
4713 ----- Kerberos策略已更改
4714 ----- 加密數據恢復策略已更改
4715 ----- 對象的審核策略(SACL)已更改
4716 ----- 可信域信息已被修改
4717 ----- 系統安全訪問權限已授予帳戶
4718 ----- 系統安全訪問已從帳戶中刪除
4719 ----- 系統審核策略已更改
4720 ----- 已創建用戶帳戶
4722 ----- 用戶帳戶已啟用
4723 ----- 嘗試更改帳戶的密碼
4724 ----- 嘗試重置帳戶密碼
4725 ----- 用戶帳戶已被禁用
4726 ----- 用戶帳戶已刪除
4727 ----- 已創建啟用安全性的全局組
4728 ----- 已將成員添加到啟用安全性的全局組中
4729 ----- 成員已從啟用安全性的全局組中刪除
4730 ----- 已刪除啟用安全性的全局組
4731 ----- 已創建啟用安全性的本地組
4732 ----- 已將成員添加到啟用安全性的本地組
4733 ----- 成員已從啟用安全性的本地組中刪除
4734 ----- 已刪除已啟用安全性的本地組
4735 ----- 已啟用安全性的本地組已更改
4737 ----- 啟用安全性的全局組已更改
4738 ----- 用戶帳戶已更改
4739 ----- 域策略已更改
4740 ----- 用戶帳戶已被鎖定
4741 ----- 已創建計算機帳戶
4742 ----- 計算機帳戶已更改
4743 ----- 計算機帳戶已刪除
4744 ----- 已創建禁用安全性的本地組
4745 ----- 已禁用安全性的本地組已更改
4746 ----- 已將成員添加到已禁用安全性的本地組
4747 ----- 已從安全性已禁用的本地組中刪除成員
4748 ----- 已刪除安全性已禁用的本地組
4749 ----- 已創建一個禁用安全性的全局組
4750 ----- 已禁用安全性的全局組已更改
4751 ----- 已將成員添加到已禁用安全性的全局組中
4752 ----- 成員已從禁用安全性的全局組中刪除
4753 ----- 已刪除安全性已禁用的全局組
4754 ----- 已創建啟用安全性的通用組
4755 ----- 啟用安全性的通用組已更改
4756 ----- 已將成員添加到啟用安全性的通用組中
4757 ----- 成員已從啟用安全性的通用組中刪除
4758 ----- 已刪除啟用安全性的通用組
4759 ----- 創建了一個安全禁用的通用組
4760 ----- 安全性已禁用的通用組已更改
4761 ----- 已將成員添加到已禁用安全性的通用組中
4762 ----- 成員已從禁用安全性的通用組中刪除
4763 ----- 已刪除安全性已禁用的通用組
4764 ----- 組類型已更改
4765 ----- SID歷史記錄已添加到帳戶中
4766 ----- 嘗試將SID歷史記錄添加到帳戶失敗
4767 ----- 用戶帳戶已解鎖
4768 ----- 請求了Kerberos身份驗證票證(TGT)
4769 ----- 請求了Kerberos服務票證
4770 ----- 更新了Kerberos服務票證
4771 ----- Kerberos預身份驗證失敗
4772 ----- Kerberos身份驗證票證請求失敗
4773 ----- Kerberos服務票證請求失敗
4774 ----- 已映射帳戶以進行登錄
4775 ----- 無法映射帳戶以進行登錄
4776 ----- 域控制器嘗試驗證帳戶的憑據
4777 ----- 域控制器無法驗證帳戶的憑據
4778 ----- 會話重新連接到Window Station
4779 ----- 會話已與Window Station斷開連接
4780 ----- ACL是在作為管理員組成員的帳戶上設置的
4781 ----- 帳戶名稱已更改
4782 ----- 密碼哈希帳戶被訪問
4783 ----- 創建了一個基本應用程序組
4784 ----- 基本應用程序組已更改
4785 ----- 成員已添加到基本應用程序組
4786 ----- 成員已從基本應用程序組中刪除
4787 ----- 非成員已添加到基本應用程序組
4788 ----- 從基本應用程序組中刪除了非成員。
4789 ----- 基本應用程序組已刪除
4790 ----- 已創建LDAP查詢組
4791 ----- 基本應用程序組已更改
4792 ----- LDAP查詢組已刪除
4793 ----- 密碼策略檢查API已被調用
4794 ----- 嘗試設置目錄服務還原模式管理員密碼
4797 ----- 試圖查詢帳戶是否存在空白密碼
4798 ----- 枚舉了用戶的本地組成員身份。
4799 ----- 已枚舉啟用安全性的本地組成員身份
4800 ----- 工作站已鎖定
4801 ----- 工作站已解鎖
4802 ----- 屏幕保護程序被調用
4803 ----- 屏幕保護程序被解雇了
4816 ----- RPC在解密傳入消息時檢測到完整性違規
4817 ----- 對象的審核設置已更改。
4818 ----- 建議的中央訪問策略不授予與當前中央訪問策略相同的訪問權限
4819 ----- 計算機上的中央訪問策略已更改
4820 ----- Kerberos票證授予票證(TGT)被拒絕,因為該設備不符合訪問控制限制
4821 ----- Kerberos服務票證被拒絕,因為用戶,設備或兩者都不符合訪問控制限制
4822 ----- NTLM身份驗證失敗,因為該帳戶是受保護用戶組的成員
4823 ----- NTLM身份驗證失敗,因為需要訪問控制限制
4824 ----- 使用DES或RC4進行Kerberos預身份驗證失敗,因為該帳戶是受保護用戶組的成員
4825 ----- 用戶被拒絕訪問遠程桌面。默認情況下,僅當用戶是RemoteDesktop Users組或Administrators組的成員時才允許用戶進行連接
4826 ----- 加載引導配置數據
4830 ----- SID歷史記錄已從帳戶中刪除
4864 ----- 檢測到名稱空間沖突
4865 ----- 添加了受信任的林信息條目
4866 ----- 已刪除受信任的林信息條目
4867 ----- 已修改受信任的林信息條目
4868 ----- 證書管理器拒絕了掛起的證書請求
4869 ----- 證書服務收到重新提交的證書請求
4870 ----- 證書服務撤銷了證書
4871 ----- 證書服務收到發布證書吊銷列表(CRL)的請求
4872 ----- 證書服務發布證書吊銷列表(CRL)
4873 ----- 證書申請延期已更改
4874 ----- 一個或多個證書請求屬性已更改。
4875 ----- 證書服務收到關閉請求
4876 ----- 證書服務備份已啟動
4877 ----- 證書服務備份已完成
4878 ----- 證書服務還原已開始
4879 ----- 證書服務恢復已完成
4880 ----- 證書服務已啟動
4881 ----- 證書服務已停止
4882 ----- 證書服務的安全權限已更改
4883 ----- 證書服務檢索到存檔密鑰
4884 ----- 證書服務將證書導入其數據庫
4885 ----- 證書服務的審核篩選器已更改
4886 ----- 證書服務收到證書請求
4887 ----- 證書服務批準了證書請求并頒發了證書
4888 ----- 證書服務拒絕了證書請求
4889 ----- 證書服務將證書請求的狀態設置為掛起
4890 ----- 證書服務的證書管理器設置已更改。
4891 ----- 證書服務中的配置條目已更改
4892 ----- 證書服務的屬性已更改
4893 ----- 證書服務存檔密鑰
4894 ----- 證書服務導入并存檔了一個密鑰
4895 ----- 證書服務將CA證書發布到Active Directory域服務
4896 ----- 已從證書數據庫中刪除一行或多行
4897 ----- 啟用角色分離
4898 ----- 證書服務加載了一個模板
4899 ----- 證書服務模板已更新
4900 ----- 證書服務模板安全性已更新
4902 ----- 已創建每用戶審核策略表
4904 ----- 嘗試注冊安全事件源
4905 ----- 嘗試取消注冊安全事件源
4906 ----- CrashOnAuditFail值已更改
4907 ----- 對象的審核設置已更改
4908 ----- 特殊組登錄表已修改
4909 ----- TBS的本地策略設置已更改
4910 ----- TBS的組策略設置已更改
4911 ----- 對象的資源屬性已更改
4912 ----- 每用戶審核策略已更改
4913 ----- 對象的中央訪問策略已更改
4928 ----- 建立了Active Directory副本源命名上下文
4929 ----- 已刪除Active Directory副本源命名上下文
4930 ----- 已修改Active Directory副本源命名上下文
4931 ----- 已修改Active Directory副本目標命名上下文
4932 ----- 已開始同步Active Directory命名上下文的副本
4933 ----- Active Directory命名上下文的副本的同步已結束
4934 ----- 已復制Active Directory對象的屬性
4935 ----- 復制失敗開始
4936 ----- 復制失敗結束
4937 ----- 從副本中刪除了一個延遲對象
4944 ----- Windows防火墻啟動時,以下策略處于活動狀態
4945 ----- Windows防火墻啟動時列出了規則
4946 ----- 已對Windows防火墻例外列表進行了更改。增加了一條規則
4947 ----- 已對Windows防火墻例外列表進行了更改。規則被修改了
4948 ----- 已對Windows防火墻例外列表進行了更改。規則已刪除
4949 ----- Windows防火墻設置已恢復為默認值
4950 ----- Windows防火墻設置已更改
4951 ----- 規則已被忽略,因為Windows防火墻無法識別其主要版本號
4952 ----- 已忽略規則的某些部分,因為Windows防火墻無法識別其次要版本號
4953 ----- Windows防火墻已忽略規則,因為它無法解析規則
4954 ----- Windows防火墻組策略設置已更改。已應用新設置
4956 ----- Windows防火墻已更改活動配置文件
4957 ----- Windows防火墻未應用以下規則
4958 ----- Windows防火墻未應用以下規則,因為該規則引用了此計算機上未配置的項目
4960 ----- IPsec丟棄了未通過完整性檢查的入站數據包
4961 ----- IPsec丟棄了重放檢查失敗的入站數據包
4962 ----- IPsec丟棄了重放檢查失敗的入站數據包
4963 ----- IPsec丟棄了應該受到保護的入站明文數據包
4964 ----- 特殊組已分配給新登錄
4965 ----- IPsec從遠程計算機收到一個包含不正確的安全參數索引(SPI)的數據包。
4976 ----- 在主模式協商期間,IPsec收到無效的協商數據包。
4977 ----- 在快速模式協商期間,IPsec收到無效的協商數據包。
4978 ----- 在擴展模式協商期間,IPsec收到無效的協商數據包。
4979 ----- 建立了IPsec主模式和擴展模式安全關聯。
4980 ----- 建立了IPsec主模式和擴展模式安全關聯
4981 ----- 建立了IPsec主模式和擴展模式安全關聯
4982 ----- 建立了IPsec主模式和擴展模式安全關聯
4983 ----- IPsec擴展模式協商失敗
4984 ----- IPsec擴展模式協商失敗
4985 ----- 交易狀態已發生變化
5024 ----- Windows防火墻服務已成功啟動
5025 ----- Windows防火墻服務已停止
5027 ----- Windows防火墻服務無法從本地存儲中檢索安全策略
5028 ----- Windows防火墻服務無法解析新的安全策略。
5029 ----- Windows防火墻服務無法初始化驅動程序
5030 ----- Windows防火墻服務無法啟動
5031 ----- Windows防火墻服務阻止應用程序接受網絡上的傳入連接。
5032 ----- Windows防火墻無法通知用戶它阻止應用程序接受網絡上的傳入連接
5033 ----- Windows防火墻驅動程序已成功啟動
5034 ----- Windows防火墻驅動程序已停止
5035 ----- Windows防火墻驅動程序無法啟動
5037 ----- Windows防火墻驅動程序檢測到嚴重的運行時錯 終止
5038 ----- 代碼完整性確定文件的圖像哈希無效
5039 ----- 注冊表項已虛擬化。
5040 ----- 已對IPsec設置進行了更改。添加了身份驗證集。
5041 ----- 已對IPsec設置進行了更改。身份驗證集已修改
5042 ----- 已對IPsec設置進行了更改。身份驗證集已刪除
5043 ----- 已對IPsec設置進行了更改。添加了連接安全規則
5044 ----- 已對IPsec設置進行了更改。連接安全規則已修改
5045 ----- 已對IPsec設置進行了更改。連接安全規則已刪除
5046 ----- 已對IPsec設置進行了更改。添加了加密集
5047 ----- 已對IPsec設置進行了更改。加密集已被修改
5048 ----- 已對IPsec設置進行了更改。加密集已刪除
5049 ----- IPsec安全關聯已刪除
5050 ----- 嘗試使用對INetFwProfile.FirewallEnabled的調用以編程方式禁用Windows防火墻(FALSE
5051 ----- 文件已虛擬化
5056 ----- 進行了密碼自檢
5057 ----- 加密原語操作失敗
5058 ----- 密鑰文件操作
5059 ----- 密鑰遷移操作
5060 ----- 驗證操作失敗
5061 ----- 加密操作
5062 ----- 進行了內核模式加密自檢
5063 ----- 嘗試了加密提供程序操作
5064 ----- 嘗試了加密上下文操作
5065 ----- 嘗試了加密上下文修改
5066 ----- 嘗試了加密功能操作
5067 ----- 嘗試了加密功能修改
5068 ----- 嘗試了加密函數提供程序操作
5069 ----- 嘗試了加密函數屬性操作
5070 ----- 嘗試了加密函數屬性操作
5071 ----- Microsoft密鑰分發服務拒絕密鑰訪問
5120 ----- OCSP響應程序服務已啟動
5121 ----- OCSP響應程序服務已停止
5122 ----- OCSP響應程序服務中的配置條目已更改
5123 ----- OCSP響應程序服務中的配置條目已更改
5124 ----- 在OCSP Responder Service上更新了安全設置
5125 ----- 請求已提交給OCSP Responder Service
5126 ----- 簽名證書由OCSP Responder Service自動更新
5127 ----- OCSP吊銷提供商成功更新了吊銷信息
5136 ----- 目錄服務對象已修改
5137 ----- 已創建目錄服務對象
5138 ----- 目錄服務對象已取消刪除
5139 ----- 已移動目錄服務對象
5140 ----- 訪問了網絡共享對象
5141 ----- 目錄服務對象已刪除
5142 ----- 添加了網絡共享對象。
5143 ----- 網絡共享對象已被修改
5144 ----- 網絡共享對象已刪除。
5145 ----- 檢查網絡共享對象以查看是否可以向客戶端授予所需的訪問權限
5146 ----- Windows篩選平臺已阻止數據包
5147 ----- 限制性更強的Windows篩選平臺篩選器阻止了數據包
5148 ----- Windows過濾平臺檢測到DoS攻擊并進入防御模式; 與此攻擊相關的數據包將被丟棄。
5149 ----- DoS攻擊已經消退,正常處理正在恢復。
5150 ----- Windows篩選平臺已阻止數據包。
5151 ----- 限制性更強的Windows篩選平臺篩選器阻止了數據包。
5152 ----- Windows篩選平臺阻止了數據包
5153 ----- 限制性更強的Windows篩選平臺篩選器阻止了數據包
5154 ----- Windows過濾平臺允許應用程序或服務在端口上偵聽傳入連接
5155 ----- Windows篩選平臺已阻止應用程序或服務偵聽端口上的傳入連接
5156 ----- Windows篩選平臺允許連接
5157 ----- Windows篩選平臺已阻止連接
5158 ----- Windows篩選平臺允許綁定到本地端口
5159 ----- Windows篩選平臺已阻止綁定到本地端口
5168 ----- SMB / SMB2的Spn檢查失敗。
5169 ----- 目錄服務對象已修改
5170 ----- 在后臺清理任務期間修改了目錄服務對象
5376 ----- 已備份憑據管理器憑據
5377 ----- Credential Manager憑據已從備份還原
5378 ----- 策略不允許請求的憑據委派
5440 ----- Windows篩選平臺基本篩選引擎啟動時出現以下callout
5441 ----- Windows篩選平臺基本篩選引擎啟動時存在以下篩選器
5442 ----- Windows篩選平臺基本篩選引擎啟動時,存在以下提供程序
5443 ----- Windows篩選平臺基本篩選引擎啟動時,存在以下提供程序上下文
5444 ----- Windows篩選平臺基本篩選引擎啟動時,存在以下子層
5446 ----- Windows篩選平臺標注已更改
5447 ----- Windows篩選平臺篩選器已更改
5448 ----- Windows篩選平臺提供程序已更改
5449 ----- Windows篩選平臺提供程序上下文已更改
5450 ----- Windows篩選平臺子層已更改
5451 ----- 建立了IPsec快速模式安全關聯
5452 ----- IPsec快速模式安全關聯已結束
5453 ----- 與遠程計算機的IPsec協商失敗,因為未啟動IKE和AuthIP IPsec密鑰模塊(IKEEXT)服務
5456 ----- PAStore引擎在計算機上應用了Active Directory存儲IPsec策略
5457 ----- PAStore引擎無法在計算機上應用Active Directory存儲IPsec策略
5458 ----- PAStore引擎在計算機上應用了Active Directory存儲IPsec策略的本地緩存副本
5459 ----- PAStore引擎無法在計算機上應用Active Directory存儲IPsec策略的本地緩存副本
5460 ----- PAStore引擎在計算機上應用了本地注冊表存儲IPsec策略
5461 ----- PAStore引擎無法在計算機上應用本地注冊表存儲IPsec策略
5462 ----- PAStore引擎無法在計算機上應用某些活動IPsec策略規則
5463 ----- PAStore引擎輪詢活動IPsec策略的更改并檢測不到任何更改
5464 ----- PAStore引擎輪詢活動IPsec策略的更改,檢測到更改并將其應用于IPsec服務
5465 ----- PAStore Engine收到強制重新加載IPsec策略的控件并成功處理控件
5466 ----- PAStore引擎輪詢Active Directory IPsec策略的更改,確定無法訪問Active Directory,并將使用Active Directory
IPsec策略的緩存副本
5467 ----- PAStore引擎輪詢Active Directory IPsec策略的更改,確定可以訪問Active Directory,并且未找到對策略的更改
5468 ----- PAStore引擎輪詢Active Directory IPsec策略的更改,確定可以訪問Active Directory,找到策略更改并應用這些更改
5471 ----- PAStore引擎在計算機上加載了本地存儲IPsec策略
5472 ----- PAStore引擎無法在計算機上加載本地存儲IPsec策略
5473 ----- PAStore引擎在計算機上加載了目錄存儲IPsec策略
5474 ----- PAStore引擎無法在計算機上加載目錄存儲IPsec策略
5477 ----- PAStore引擎無法添加快速模式過濾器
5478 ----- IPsec服務已成功啟動
5479 ----- IPsec服務已成功關閉
5480 ----- IPsec服務無法獲取計算機上的完整網絡接口列表
5483 ----- IPsec服務無法初始化RPC服務器。無法啟動IPsec服務
5484 ----- IPsec服務遇到嚴重故障并已關閉
5485 ----- IPsec服務無法在網絡接口的即插即用事件上處理某些IPsec篩選器
5632 ----- 已請求對無線網絡進行身份驗證
5633 ----- 已請求對有線網絡進行身份驗證
5712 ----- 嘗試了遠程過程調用(RPC)
5888 ----- COM +目錄中的對象已被修改
5889 ----- 從COM +目錄中刪除了一個對象
5890 ----- 一個對象已添加到COM +目錄中
6144 ----- 組策略對象中的安全策略已成功應用
6145 ----- 處理組策略對象中的安全策略時發生一個或多個錯誤
6272 ----- 網絡策略服務器授予用戶訪問權限
6273 ----- 網絡策略服務器拒絕訪問用戶
6274 ----- 網絡策略服務器放棄了對用戶的請求
6275 ----- 網絡策略服務器放棄了用戶的記帳請求
6276 ----- 網絡策略服務器隔離了用戶
6277 ----- 網絡策略服務器授予用戶訪問權限,但由于主機未滿足定義的健康策略而將其置于試用期
6278 ----- 網絡策略服務器授予用戶完全訪問權限,因為主機符合定義的健康策略
6279 ----- 由于重復失敗的身份驗證嘗試,網絡策略服務器鎖定了用戶帳戶
6280 ----- 網絡策略服務器解鎖了用戶帳戶
6281 ----- 代碼完整性確定圖像文件的頁面哈希值無效...
6400 ----- BranchCache:在發現內容可用性時收到格式錯誤的響應。
6401 ----- BranchCache:從對等方收到無效數據。數據被丟棄。
6402 ----- BranchCache:提供數據的托管緩存的消息格式不正確。
6403 ----- BranchCache:托管緩存發送了對客戶端消息的錯誤格式化響應以提供數據。
6404 ----- BranchCache:無法使用配置的SSL證書對托管緩存進行身份驗證。
6405 ----- BranchCache:發生了事件ID%1的%2個實例。
6406 ----- %1注冊到Windows防火墻以控制以下過濾:
6408 ----- 已注冊的產品%1失敗,Windows防火墻現在正在控制%2的過濾。
6409 ----- BranchCache:無法解析服務連接點對象
6410 ----- 代碼完整性確定文件不滿足加載到進程中的安全性要求。這可能是由于使用共享部分或其他問題
6416 ----- 系統識別出新的外部設備。
6417 ----- FIPS模式加密自檢成功
6418 ----- FIPS模式加密自檢失敗
6419 ----- 發出了禁用設備的請求
6420 ----- 設備已禁用
6421 ----- 已發出請求以啟用設備
6422 ----- 設備已啟用
6423 ----- 系統策略禁止安裝此設備
6424 ----- 在事先被政策禁止之后,允許安裝此設備
8191 ----- 最高系統定義的審計消息值總結
以上是生活随笔為你收集整理的【Windows日志】记录系统事件的日志的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【互联网运营实战手册3】 运营需要熟练运
- 下一篇: 报道称 BioWare 内部不断推迟《龙