Lampiran L: Peristiwa untuk Dipantau
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server
Tabel berikut ini mencantumkan peristiwa yang harus Anda pantau di lingkungan Anda, sesuai dengan rekomendasi yang disediakan dalam Pemantauan Direktori Aktif untuk Tanda-tanda Penyusupan. Dalam tabel berikut, kolom "ID Peristiwa Windows Saat Ini" mencantumkan ID peristiwa seperti yang diimplementasikan dalam versi Windows dan Windows Server yang saat ini berada dalam dukungan mainstream.
Kolom "ID Peristiwa Windows Warisan" mencantumkan ID peristiwa yang sesuai dalam versi lama Windows seperti komputer klien yang menjalankan Windows XP atau yang lebih lama dan server yang menjalankan Windows Server 2003 atau yang lebih lama. Kolom "Potensi Kekritisan" mengidentifikasi apakah peristiwa harus dianggap rendah, sedang, atau kritis tinggi dalam mendeteksi serangan, dan kolom "Ringkasan Peristiwa" memberikan deskripsi singkat tentang peristiwa tersebut.
Potensi kekritisan Tinggi berarti bahwa satu kejadian peristiwa harus diselidiki. Potensi kekritisan Sedang atau Rendah berarti bahwa peristiwa ini hanya boleh diselidiki jika terjadi secara tidak terduga atau dalam angka yang secara signifikan melebihi garis besar yang diharapkan dalam jangka waktu yang diukur. Semua organisasi harus menguji rekomendasi ini di lingkungan mereka sebelum membuat pemberitahuan yang memerlukan respons investigasi wajib. Setiap lingkungan berbeda, dan beberapa peristiwa yang diberi peringkat dengan potensi kekritisan Tinggi dapat terjadi karena peristiwa tidak berbahaya lainnya.
| ID Kejadian Windows Saat Ini | ID Peristiwa Windows Warisan | Potensi Kekritisan | Ringkasan Peristiwa |
|---|---|---|---|
| 4618 | T/A | Sangat Penting | Pola peristiwa keamanan yang dipantau telah terjadi. |
| 4649 | T/A | Sangat Penting | Serangan pemutaran ulang terdeteksi. Mungkin positif palsu yang tidak berbahaya karena kesalahan konfigurasi. |
| 4719 | 612 | Sangat Penting | Kebijakan audit sistem diubah. |
| 4765 | T/A | Sangat Penting | Riwayat SID ditambahkan ke akun. |
| 4766 | T/A | Sangat Penting | Upaya untuk menambahkan Riwayat SID ke akun gagal. |
| 4794 | T/A | Sangat Penting | Upaya dilakukan untuk mengatur Mode Pemulihan Layanan Direktori. |
| 4897 | 801 | Sangat Penting | Pemisahan peran diaktifkan: |
| 4964 | T/A | Sangat Penting | Grup khusus telah ditetapkan ke log masuk baru. |
| 5124 | T/A | Sangat Penting | Pengaturan keamanan diperbarui pada Layanan Responder OCSP |
| T/A | 550 | Sedang ke Tinggi | Kemungkinan serangan penolakan layanan (DoS) |
| 1102 | 517 | Sedang ke Tinggi | Log audit dibersihkan |
| 4621 | T/A | Medium | Administrator memulihkan sistem dari CrashOnAuditFail. Pengguna yang bukan admin sekarang akan diizinkan untuk masuk. Beberapa aktivitas yang dapat diaudit mungkin belum direkam. |
| 4675 | T/A | Medium | SID difilter. |
| 4692 | T/A | Medium | Pencadangan kunci master perlindungan data telah dicoba. |
| 4693 | T/A | Medium | Pemulihan kunci master perlindungan data telah dicoba. |
| 4706 | 610 | Medium | Kepercayaan baru dibuat ke domain. |
| 4713 | 617 | Medium | Kebijakan Kerberos diubah. |
| 4714 | 618 | Medium | Kebijakan pemulihan data terenkripsi diubah. |
| 4715 | T/A | Medium | Kebijakan audit (SACL) pada objek diubah. |
| 4716 | 620 | Medium | Informasi domain tepercaya telah diubah. |
| 4724 | 628 | Medium | Upaya dilakukan untuk mereset kata sandi akun. |
| 4727 | 631 | Medium | Grup global yang mendukung keamanan dibuat. |
| 4735 | 639 | Medium | Grup lokal yang mendukung keamanan diubah. |
| 4737 | 641 | Medium | Grup global yang mendukung keamanan diubah. |
| 4739 | 643 | Medium | Kebijakan Domain diubah. |
| 4754 | 658 | Medium | Grup universal yang mendukung keamanan dibuat. |
| 4755 | 659 | Medium | Grup universal yang mendukung keamanan diubah. |
| 4764 | 667 | Medium | Grup yang dinonaktifkan keamanan dihapus |
| 4764 | 668 | Medium | Jenis grup diubah. |
| 4780 | 684 | Medium | ACL diatur pada akun yang merupakan anggota grup administrator. |
| 4816 | T/A | Medium | RPC mendeteksi pelanggaran integritas saat mendekripsi pesan masuk. |
| 4865 | T/A | Medium | Entri informasi hutan tepercaya ditambahkan. |
| 4866 | T/A | Medium | Entri informasi hutan tepercaya telah dihapus. |
| 4867 | T/A | Medium | Entri informasi hutan tepercaya dimodifikasi. |
| 4868 | 772 | Medium | Manajer sertifikat menolak permintaan sertifikat yang tertunda. |
| 4870 | 774 | Medium | Layanan Sertifikat mencabut sertifikat. |
| 4882 | 786 | Medium | Izin keamanan untuk Layanan Sertifikat berubah. |
| 4885 | 789 | Medium | Filter audit untuk Layanan Sertifikat berubah. |
| 4890 | 794 | Medium | Pengaturan manajer sertifikat untuk Layanan Sertifikat berubah. |
| 4892 | 796 | Medium | Properti Layanan Sertifikat berubah. |
| 4896 | 800 | Medium | Satu atau beberapa baris telah dihapus dari database sertifikat. |
| 4906 | T/A | Medium | Nilai CrashOnAuditFail telah berubah. |
| 4907 | T/A | Medium | Pengaturan audit pada objek diubah. |
| 4908 | T/A | Medium | Tabel Masuk Grup Khusus dimodifikasi. |
| 4912 | 807 | Medium | Kebijakan Audit Per Pengguna diubah. |
| 4960 | T/A | Medium | IPsec menjatuhkan paket masuk yang gagal dalam pemeriksaan integritas. Jika masalah ini berlanjut, itu bisa menunjukkan masalah jaringan atau bahwa paket sedang dimodifikasi saat transit ke komputer ini. Verifikasi bahwa paket yang dikirim dari komputer jarak jauh sama dengan yang diterima oleh komputer ini. Kesalahan ini mungkin juga menunjukkan masalah interoperabilitas dengan implementasi IPsec lainnya. |
| 4961 | T/A | Medium | IPsec menjatuhkan paket masuk yang gagal dalam pemeriksaan pemutaran ulang. Jika masalah ini berlanjut, itu bisa menunjukkan serangan pemutaran ulang terhadap komputer ini. |
| 4962 | T/A | Medium | IPsec menjatuhkan paket masuk yang gagal dalam pemeriksaan pemutaran ulang. Paket masuk memiliki nomor urutan yang terlalu rendah untuk memastikannya bukan pemutaran ulang. |
| 4963 | T/A | Medium | IPsec menjatuhkan paket teks jelas masuk yang seharusnya diamankan. Ini biasanya disebabkan oleh komputer jarak jauh yang mengubah kebijakan IPsec-nya tanpa menginformasikan komputer ini. Ini juga bisa menjadi upaya serangan spoofing. |
| 4965 | T/A | Medium | IPsec menerima paket dari komputer jarak jauh dengan Indeks Parameter Keamanan (SPI) yang salah. Ini biasanya disebabkan oleh perangkat keras yang tidak berfungsi yang merusak paket. Jika kesalahan ini berlanjut, verifikasi bahwa paket yang dikirim dari komputer jarak jauh sama dengan yang diterima oleh komputer ini. Kesalahan ini juga dapat menunjukkan masalah interoperabilitas dengan implementasi IPsec lainnya. Dalam hal ini, jika konektivitas tidak terhambat, maka peristiwa ini dapat diabaikan. |
| 4976 | T/A | Medium | Selama negosiasi Mode Utama, IPsec menerima paket negosiasi yang tidak valid. Jika masalah ini berlanjut, itu dapat menunjukkan masalah jaringan atau upaya untuk memodifikasi atau memutar ulang negosiasi ini. |
| 4977 | T/A | Medium | Selama negosiasi Mode Cepat, IPsec menerima paket negosiasi yang tidak valid. Jika masalah ini berlanjut, itu dapat menunjukkan masalah jaringan atau upaya untuk memodifikasi atau memutar ulang negosiasi ini. |
| 4978 | T/A | Medium | Selama negosiasi Mode Diperpanjang, IPsec menerima paket negosiasi yang tidak valid. Jika masalah ini berlanjut, itu dapat menunjukkan masalah jaringan atau upaya untuk memodifikasi atau memutar ulang negosiasi ini. |
| 4983 | T/A | Medium | Negosiasi Mode Diperpanjang IPsec gagal. Asosiasi keamanan Mode Utama yang sesuai telah dihapus. |
| 4984 | T/A | Medium | Negosiasi Mode Diperpanjang IPsec gagal. Asosiasi keamanan Mode Utama yang sesuai telah dihapus. |
| 5027 | T/A | Medium | Layanan Firewall Windows tidak dapat mengambil kebijakan keamanan dari penyimpanan lokal. Layanan akan terus memberlakukan kebijakan saat ini. |
| 5028 | T/A | Medium | Layanan Firewall Windows tidak dapat mengurai kebijakan keamanan baru. Layanan akan dilanjutkan dengan kebijakan yang saat ini diberlakukan. |
| 5029 | T/A | Medium | Layanan Windows Firewall gagal menginisialisasi pengandar. Layanan akan terus memberlakukan kebijakan saat ini. |
| 5030 | T/A | Medium | Layanan Windows Firewall gagal dimulai. |
| 5035 | T/A | Medium | Driver Windows Firewall gagal dimulai. |
| 5037 | T/A | Medium | Driver Windows Firewall mendeteksi kesalahan runtime kritis. Mengakhiri. |
| 5038 | T/A | Medium | Integritas kode menentukan bahwa hash gambar file tidak valid. File bisa rusak karena modifikasi yang tidak sah atau hash yang tak-sahih bisa mengindikasikan adanya potensi kesalahan perangkat disk. |
| 5120 | T/A | Medium | Layanan Responden OCSP Dimulai |
| 5121 | T/A | Medium | Layanan Responden OCSP Dihentikan |
| 5122 | T/A | Medium | Entri konfigurasi diubah di Layanan Responder OCSP |
| 5123 | T/A | Medium | Entri konfigurasi diubah di Layanan Responder OCSP |
| 5376 | T/A | Medium | Kredensial Manajer Kredensial dicadangkan. |
| 5377 | T/A | Medium | Kredensial Manajer Kredensial dipulihkan dari cadangan. |
| 5453 | T/A | Medium | Negosiasi IPsec dengan komputer jarak jauh gagal karena layanan IKE dan AuthIP IPsec Keying Modules (IKEEXT) tidak dimulai. |
| 5480 | T/A | Medium | Layanan IPsec gagal mendapatkan daftar lengkap antarmuka jaringan di komputer. Ini menimbulkan potensi risiko keamanan karena beberapa antarmuka jaringan mungkin tidak mendapatkan perlindungan yang disediakan oleh filter IPsec yang diterapkan. Gunakan snap-in Monitor Keamanan IP untuk mendiagnosis masalah. |
| 5483 | T/A | Medium | Layanan IPsec gagal menginisialisasi server RPC. Layanan IPsec tidak dapat dimulai. |
| 5484 | T/A | Medium | Layanan IPsec telah mengalami kegagalan kritis dan telah dimatikan. Penonaktifan Layanan IPsec dapat menempatkan komputer pada risiko serangan jaringan yang lebih besar atau mengekspos komputer terhadap potensi risiko keamanan. |
| 5485 | T/A | Medium | Layanan IPsec gagal memproses beberapa filter IPsec pada peristiwa plug-and-play untuk antarmuka jaringan. Ini menimbulkan potensi risiko keamanan karena beberapa antarmuka jaringan mungkin tidak mendapatkan perlindungan yang disediakan oleh filter IPsec yang diterapkan. Gunakan snap-in Monitor Keamanan IP untuk mendiagnosis masalah. |
| 5827 | T/A | Medium | Layanan Netlogon menolak koneksi saluran aman Netlogon yang rentan dari akun komputer. |
| 5828 | T/A | Medium | Layanan Netlogon menolak koneksi saluran aman Netlogon yang rentan menggunakan akun kepercayaan. |
| 6145 | T/A | Medium | Satu atau beberapa kesalahan terjadi saat memproses kebijakan keamanan di objek Kebijakan Grup. |
| 6273 | T/A | Medium | Server Kebijakan Jaringan menolak akses ke pengguna. |
| 6274 | T/A | Medium | Server Kebijakan Jaringan membuang permintaan untuk pengguna. |
| 6275 | T/A | Medium | Server Kebijakan Jaringan membuang permintaan akuntansi untuk pengguna. |
| 6276 | T/A | Medium | Server Kebijakan Jaringan mengkarantina pengguna. |
| 6277 | T/A | Medium | Server Kebijakan Jaringan memberikan akses kepada pengguna tetapi memasukkannya ke masa percobaan karena host tidak memenuhi kebijakan kesehatan yang ditentukan. |
| 6278 | T/A | Medium | Server Kebijakan Jaringan memberikan akses penuh kepada pengguna karena host memenuhi kebijakan kesehatan yang ditentukan. |
| 6279 | T/A | Medium | Server Kebijakan Jaringan mengunci akun pengguna karena upaya autentikasi yang gagal berulang. |
| 6280 | T/A | Medium | Server Kebijakan Jaringan membuka kunci akun pengguna. |
| - | 640 | Medium | Database akun umum berubah |
| - | 619 | Medium | Kualitas Kebijakan Layanan berubah |
| 24586 | T/A | Medium | Terjadi kesalahan saat mengonversi volume |
| 24592 | T/A | Medium | Upaya untuk memulai ulang konversi secara otomatis pada volume %2 gagal. |
| 24593 | T/A | Medium | Penulisan metadata: Volume %2 mengembalikan kesalahan saat mencoba mengubah metadata. Jika kegagalan berlanjut, dekripsi volume |
| 24594 | T/A | Medium | Pembangunan ulang metadata: Upaya untuk menulis salinan metadata pada volume %2 gagal dan mungkin muncul sebagai kerusakan disk. Jika kegagalan berlanjut, dekripsi volume. |
| 4608 | 512 | Kurang Penting | Windows sedang memulai. |
| 4609 | 513 | Kurang Penting | Windows sedang dimatikan. |
| 4610 | 514 | Kurang Penting | Paket autentikasi telah dimuat oleh Otoritas Keamanan Lokal. |
| 4611 | 515 | Kurang Penting | Proses masuk tepercaya telah terdaftar di Otoritas Keamanan Lokal. |
| 4612 | 516 | Kurang Penting | Sumber daya internal yang dialokasikan untuk antrean pesan audit telah habis, yang menyebabkan hilangnya beberapa audit. |
| 4614 | 518 | Kurang Penting | Paket pemberitahuan telah dimuat oleh Manajer Akun Keamanan. |
| 4615 | 519 | Kurang Penting | Penggunaan port LPC tidak valid. |
| 4616 | 520 | Kurang Penting | Waktu sistem diubah. |
| 4622 | T/A | Kurang Penting | Paket keamanan telah dimuat oleh Otoritas Keamanan Lokal. |
| 4624 | 528,540 | Kurang Penting | Akun berhasil masuk. |
| 4625 | 529-537,539 | Kurang Penting | Akun gagal masuk. |
| 4634 | 538 | Kurang Penting | Akun dicatat. |
| 4646 | T/A | Kurang Penting | Mode pencegahan IKE DoS dimulai. |
| 4647 | 551 | Kurang Penting | Logoff yang dimulai pengguna. |
| 4648 | 552 | Kurang Penting | Log masuk dicoba menggunakan kredensial eksplisit. |
| 4650 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama IPsec didirikan. Mode Diperpanjang tidak diaktifkan. Autentikasi sertifikat tidak digunakan. |
| 4651 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama IPsec didirikan. Mode Diperpanjang tidak diaktifkan. Sertifikat digunakan untuk autentikasi. |
| 4652 | T/A | Kurang Penting | Negosiasi Mode Utama IPsec gagal. |
| 4653 | T/A | Kurang Penting | Negosiasi Mode Utama IPsec gagal. |
| 4654 | T/A | Kurang Penting | Negosiasi Mode Cepat IPsec gagal. |
| 4655 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama IPsec berakhir. |
| 4656 | 560 | Kurang Penting | Handel ke objek diminta. |
| 4657 | 567 | Kurang Penting | Nilai registri dimodifikasi. |
| 4658 | 562 | Kurang Penting | Handel ke objek ditutup. |
| 4659 | T/A | Kurang Penting | Handel ke objek diminta dengan niat untuk menghapus. |
| 4660 | 564 | Kurang Penting | Objek telah dihapus. |
| 4661 | 565 | Kurang Penting | Handel ke objek diminta. |
| 4662 | 566 | Kurang Penting | Operasi dilakukan pada objek. |
| 4663 | 567 | Kurang Penting | Upaya dilakukan untuk mengakses objek. |
| 4664 | T/A | Kurang Penting | Upaya dilakukan untuk membuat tautan keras. |
| 4665 | T/A | Kurang Penting | Upaya dilakukan untuk membuat konteks klien aplikasi. |
| 4666 | T/A | Kurang Penting | Aplikasi mencoba operasi: |
| 4667 | T/A | Kurang Penting | Konteks klien aplikasi dihapus. |
| 4668 | T/A | Kurang Penting | Aplikasi diinisialisasi. |
| 4670 | T/A | Kurang Penting | Izin pada objek diubah. |
| 4671 | T/A | Kurang Penting | Aplikasi mencoba mengakses ordinal yang diblokir melalui TBS. |
| 4672 | 576 | Kurang Penting | Hak istimewa khusus yang ditetapkan untuk masuk baru. |
| 4673 | 577 | Kurang Penting | Layanan istimewa dipanggil. |
| 4674 | 578 | Kurang Penting | Operasi dicoba pada objek istimewa. |
| 4688 | 592 | Kurang Penting | Proses baru telah dibuat. |
| 4689 | 593 | Kurang Penting | Proses telah keluar. |
| 4690 | 594 | Kurang Penting | Upaya dilakukan untuk menduplikasi handel ke objek. |
| 4691 | 595 | Kurang Penting | Akses tidak langsung ke objek diminta. |
| 4694 | T/A | Kurang Penting | Perlindungan data yang dilindungi yang dapat diaudit dicoba. |
| 4695 | T/A | Kurang Penting | Pembatalan perlindungan data yang dilindungi yang dapat diaudit dicoba. |
| 4696 | 600 | Kurang Penting | Token utama ditetapkan untuk diproses. |
| 4697 | 601 | Kurang Penting | Mencoba menginstal layanan |
| 4698 | 602 | Kurang Penting | Tugas terjadwal dibuat. |
| 4699 | 602 | Kurang Penting | Tugas terjadwal dihapus. |
| 4700 | 602 | Kurang Penting | Tugas terjadwal diaktifkan. |
| 4701 | 602 | Kurang Penting | Tugas terjadwal dinonaktifkan. |
| 4702 | 602 | Kurang Penting | Tugas terjadwal telah diperbarui. |
| 4704 | 608 | Kurang Penting | Hak pengguna ditetapkan. |
| 4705 | 609 | Kurang Penting | Hak pengguna dihapus. |
| 4707 | 611 | Kurang Penting | Kepercayaan ke domain telah dihapus. |
| 4709 | T/A | Kurang Penting | Layanan IPsec dimulai. |
| 4710 | T/A | Kurang Penting | Layanan IPsec dinonaktifkan. |
| 4711 | T/A | Kurang Penting | Dapat berisi salah satu hal berikut: Mesin PAStore menerapkan salinan penyimpanan IPsec Direktori Aktif yang diterapkan secara lokal di cache kebijakan IPsec di komputer. Mesin PAStore menerapkan kebijakan IPsec penyimpanan Direktori Aktif di komputer. Mesin PAStore menerapkan kebijakan IPsec penyimpanan registri lokal di komputer. Mesin PAStore gagal menerapkan salinan kebijakan IPsec penyimpanan Direktori Aktif yang di-cache secara lokal di komputer. Mesin PAStore gagal menerapkan kebijakan IPsec penyimpanan Direktori Aktif di komputer. Mesin PAStore gagal menerapkan kebijakan IPsec penyimpanan registri lokal di komputer. Mesin PAStore gagal menerapkan beberapa aturan kebijakan IPsec aktif pada komputer. Mesin PAStore gagal memuat kebijakan IPsec penyimpanan direktori di komputer. Kebijakan IPsec penyimpanan direktori yang dimuat Mesin PAStore di komputer. Mesin PAStore gagal memuat kebijakan IPsec penyimpanan lokal di komputer. Mesin PAStore memuat kebijakan IPsec penyimpanan lokal di komputer. MESIN PAStore melakukan polling untuk perubahan pada kebijakan IPsec aktif dan tidak mendeteksi perubahan. |
| 4712 | T/A | Kurang Penting | Layanan IPsec mengalami kegagalan yang berpotensi serius. |
| 4717 | 621 | Kurang Penting | Akses keamanan sistem diberikan ke akun. |
| 4718 | 622 | Kurang Penting | Akses keamanan sistem dihapus dari akun. |
| 4720 | 624 | Kurang Penting | Akun pengguna dibuat. |
| 4722 | 626 | Kurang Penting | Akun pengguna diaktifkan. |
| 4723 | 627 | Kurang Penting | Upaya dilakukan untuk mengubah kata sandi akun. |
| 4725 | 629 | Kurang Penting | Akun pengguna dinonaktifkan. |
| 4726 | 630 | Kurang Penting | Akun pengguna dihapus. |
| 4728 | 632 | Kurang Penting | Anggota ditambahkan ke grup global yang mendukung keamanan. |
| 4729 | 633 | Kurang Penting | Anggota dihapus dari grup global yang mendukung keamanan. |
| 4730 | 634 | Kurang Penting | Grup global yang mendukung keamanan dihapus. |
| 4731 | 635 | Kurang Penting | Grup lokal yang mendukung keamanan dibuat. |
| 4732 | 636 | Kurang Penting | Anggota ditambahkan ke grup lokal yang mendukung keamanan. |
| 4733 | 637 | Kurang Penting | Anggota dihapus dari grup lokal yang mendukung keamanan. |
| 4734 | 638 | Kurang Penting | Grup lokal yang mendukung keamanan dihapus. |
| 4738 | 642 | Kurang Penting | Akun pengguna diubah. |
| 4740 | 644 | Kurang Penting | Akun pengguna dikunci. |
| 4741 | 645 | Kurang Penting | Akun komputer diubah. |
| 4742 | 646 | Kurang Penting | Akun komputer diubah. |
| 4743 | 647 | Kurang Penting | Akun komputer telah dihapus. |
| 4744 | 648 | Kurang Penting | Grup lokal yang dinonaktifkan keamanan dibuat. |
| 4745 | 649 | Kurang Penting | Grup lokal yang dinonaktifkan keamanan diubah. |
| 4746 | 650 | Kurang Penting | Anggota ditambahkan ke grup lokal yang dinonaktifkan keamanan. |
| 4747 | 651 | Kurang Penting | Anggota dihapus dari grup lokal yang dinonaktifkan keamanan. |
| 4748 | 652 | Kurang Penting | Grup lokal yang dinonaktifkan keamanan telah dihapus. |
| 4749 | 653 | Kurang Penting | Grup global yang dinonaktifkan keamanan dibuat. |
| 4750 | 654 | Kurang Penting | Grup global yang dinonaktifkan keamanan diubah. |
| 4751 | 655 | Kurang Penting | Anggota ditambahkan ke grup global yang dinonaktifkan keamanan. |
| 4752 | 656 | Kurang Penting | Anggota dihapus dari grup global yang dinonaktifkan keamanan. |
| 4753 | 657 | Kurang Penting | Grup global yang dinonaktifkan keamanan telah dihapus. |
| 4756 | 660 | Kurang Penting | Anggota ditambahkan ke grup universal yang mendukung keamanan. |
| 4757 | 661 | Kurang Penting | Anggota dihapus dari grup universal yang mendukung keamanan. |
| 4758 | 662 | Kurang Penting | Grup universal yang mendukung keamanan dihapus. |
| 4759 | 663 | Kurang Penting | Grup universal yang dinonaktifkan keamanan dibuat. |
| 4760 | 664 | Kurang Penting | Grup universal yang dinonaktifkan keamanan diubah. |
| 4761 | 665 | Kurang Penting | Anggota ditambahkan ke grup universal yang dinonaktifkan keamanan. |
| 4762 | 666 | Kurang Penting | Anggota dihapus dari grup universal yang dinonaktifkan keamanan. |
| 4767 | 671 | Kurang Penting | Akun pengguna tidak terkunci. |
| 4768 | 672,676 | Kurang Penting | Tiket autentikasi Kerberos (TGT) diminta. |
| 4769 | 673 | Kurang Penting | Tiket layanan Kerberos diminta. |
| 4770 | 674 | Kurang Penting | Tiket layanan Kerberos diperpanjang. |
| 4771 | 675 | Kurang Penting | Pra-autentikasi Kerberos gagal. |
| 4772 | 672 | Kurang Penting | Permintaan tiket autentikasi Kerberos gagal. |
| 4774 | 678 | Kurang Penting | Akun dipetakan untuk masuk. |
| 4775 | 679 | Kurang Penting | Akun tidak dapat dipetakan untuk masuk. |
| 4776 | 680,681 | Kurang Penting | Pengendali domain mencoba memvalidasi kredensial untuk akun. |
| 4777 | T/A | Kurang Penting | Pengendali domain gagal memvalidasi kredensial untuk akun. |
| 4778 | 682 | Kurang Penting | Sesi disambungkan kembali ke Stasiun Jendela. |
| 4779 | 683 | Kurang Penting | Sesi terputus dari Stasiun Jendela. |
| 4781 | 685 | Kurang Penting | Nama akun diubah: |
| 4782 | T/A | Kurang Penting | Hash kata sandi akun diakses. |
| 4783 | 667 | Kurang Penting | Grup aplikasi dasar dibuat. |
| 4784 | T/A | Kurang Penting | Grup aplikasi dasar diubah. |
| 4785 | 689 | Kurang Penting | Anggota ditambahkan ke grup aplikasi dasar. |
| 4786 | 690 | Kurang Penting | Anggota dihapus dari grup aplikasi dasar. |
| 4787 | 691 | Kurang Penting | Nonmember ditambahkan ke grup aplikasi dasar. |
| 4788 | 692 | Kurang Penting | Nonmember dihapus dari grup aplikasi dasar. |
| 4789 | 693 | Kurang Penting | Grup aplikasi dasar dihapus. |
| 4790 | 694 | Kurang Penting | Grup kueri LDAP dibuat. |
| 4793 | T/A | Kurang Penting | API Pemeriksaan Kebijakan Kata Sandi dipanggil. |
| 4800 | T/A | Kurang Penting | Stasiun kerja terkunci. |
| 4801 | T/A | Kurang Penting | Stasiun kerja tidak terkunci. |
| 4802 | T/A | Kurang Penting | Pengaman layar dipanggil. |
| 4803 | T/A | Kurang Penting | Pengaman layar dihentikan. |
| 4864 | T/A | Kurang Penting | Tabrakan namespace terdeteksi. |
| 4869 | 773 | Kurang Penting | Layanan Sertifikat menerima permintaan sertifikat yang dikirim ulang. |
| 4871 | 775 | Kurang Penting | Layanan Sertifikat menerima permintaan untuk menerbitkan daftar pencabutan sertifikat (CRL). |
| 4872 | 776 | Kurang Penting | Layanan Sertifikat menerbitkan daftar pencabutan sertifikat (CRL). |
| 4873 | 777 | Kurang Penting | Ekstensi permintaan sertifikat berubah. |
| 4874 | 778 | Kurang Penting | Satu atau beberapa atribut permintaan sertifikat berubah. |
| 4875 | 779 | Kurang Penting | Layanan Sertifikat menerima permintaan untuk dimatikan. |
| 4876 | 780 | Kurang Penting | Pencadangan Layanan Sertifikat dimulai. |
| 4877 | 781 | Kurang Penting | Pencadangan Layanan Sertifikat selesai. |
| 4878 | 782 | Kurang Penting | Pemulihan Layanan Sertifikat dimulai. |
| 4879 | 783 | Kurang Penting | Pemulihan Layanan Sertifikat selesai. |
| 4880 | 784 | Kurang Penting | Layanan Sertifikat dimulai. |
| 4881 | 785 | Kurang Penting | Layanan Sertifikat dihentikan. |
| 4883 | 787 | Kurang Penting | Layanan Sertifikat mengambil kunci yang diarsipkan. |
| 4884 | 788 | Kurang Penting | Layanan Sertifikat mengimpor sertifikat ke dalam databasenya. |
| 4886 | 790 | Kurang Penting | Layanan Sertifikat menerima permintaan sertifikat. |
| 4887 | 791 | Kurang Penting | Layanan Sertifikat menyetujui permintaan sertifikat dan mengeluarkan sertifikat. |
| 4888 | 792 | Kurang Penting | Layanan Sertifikat menolak permintaan sertifikat. |
| 4889 | 793 | Kurang Penting | Layanan Sertifikat mengatur status permintaan sertifikat ke tertunda. |
| 4891 | 795 | Kurang Penting | Entri konfigurasi diubah di Layanan Sertifikat. |
| 4893 | 797 | Kurang Penting | Layanan Sertifikat mengarsipkan kunci. |
| 4894 | 798 | Kurang Penting | Layanan Sertifikat mengimpor dan mengarsipkan kunci. |
| 4895 | 799 | Kurang Penting | Layanan Sertifikat menerbitkan sertifikat CA ke Active Directory Domain Services. |
| 4898 | 802 | Kurang Penting | Layanan Sertifikat memuat templat. |
| 4902 | T/A | Kurang Penting | Tabel kebijakan audit Per pengguna dibuat. |
| 4904 | T/A | Kurang Penting | Upaya dilakukan untuk mendaftarkan sumber peristiwa keamanan. |
| 4905 | T/A | Kurang Penting | Upaya dilakukan untuk membatalkan pendaftaran sumber peristiwa keamanan. |
| 4909 | T/A | Kurang Penting | Pengaturan kebijakan lokal untuk TBS diubah. |
| 4910 | T/A | Kurang Penting | Pengaturan Kebijakan Grup untuk TBS diubah. |
| 4928 | T/A | Kurang Penting | Konteks penamaan sumber replika Direktori Aktif dibuat. |
| 4929 | T/A | Kurang Penting | Konteks penamaan sumber replika Direktori Aktif dihapus. |
| 4930 | T/A | Kurang Penting | Konteks penamaan sumber replika Direktori Aktif dimodifikasi. |
| 4931 | T/A | Kurang Penting | Konteks penamaan tujuan replika Direktori Aktif dimodifikasi. |
| 4932 | T/A | Kurang Penting | Sinkronisasi replika konteks penamaan Direktori Aktif telah dimulai. |
| 4933 | T/A | Kurang Penting | Sinkronisasi replika konteks penamaan Direktori Aktif telah berakhir. |
| 4934 | T/A | Kurang Penting | Atribut objek Direktori Aktif direplikasi. |
| 4935 | T/A | Kurang Penting | Kegagalan replikasi dimulai. |
| 4936 | T/A | Kurang Penting | Kegagalan replikasi berakhir. |
| 4937 | T/A | Kurang Penting | Objek yang berlama-lama dihapus dari replika. |
| 4944 | T/A | Kurang Penting | Kebijakan berikut aktif ketika Windows Firewall dimulai. |
| 4945 | T/A | Kurang Penting | Aturan dicantumkan ketika Windows Firewall dimulai. |
| 4946 | T/A | Kurang Penting | Perubahan telah dilakukan pada daftar pengecualian Windows Firewall. Sebuah aturan ditambahkan. |
| 4947 | T/A | Kurang Penting | Perubahan telah dilakukan pada daftar pengecualian Windows Firewall. Sebuah aturan telah diubah. |
| 4948 | T/A | Kurang Penting | Perubahan telah dilakukan pada daftar pengecualian Windows Firewall. Aturan telah dihapus. |
| 4949 | T/A | Kurang Penting | Setelan Windows Firewall dipulihkan ke nilai default. |
| 4950 | T/A | Kurang Penting | Pengaturan Tembok-api Windows telah berubah. |
| 4951 | T/A | Kurang Penting | Aturan telah diabaikan karena nomor versi utamanya tidak dikenali oleh Windows Firewall. |
| 4952 | T/A | Kurang Penting | Bagian dari aturan telah diabaikan karena nomor versi minornya tidak dikenali oleh Windows Firewall. Bagian lain dari aturan akan diberlakukan. |
| 4953 | T/A | Kurang Penting | Aturan telah diabaikan oleh Windows Firewall karena tidak dapat mengurai aturan. |
| 4954 | T/A | Kurang Penting | Pengaturan Kebijakan Grup Tembok-api Windows telah berubah. Pengaturan baru telah diterapkan. |
| 4956 | T/A | Kurang Penting | Windows Firewall telah mengubah profil aktif. |
| 4957 | T/A | Kurang Penting | Windows Firewall tidak menerapkan aturan berikut: |
| 4958 | T/A | Kurang Penting | Tembok api Windows tidak menerapkan aturan berikut karena aturan yang mengacu pada item yang tidak dikonfigurasi pada komputer ini: |
| 4979 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama dan Mode Diperpanjang IPsec didirikan. |
| 4980 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama dan Mode Diperpanjang IPsec didirikan. |
| 4981 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama dan Mode Diperpanjang IPsec didirikan. |
| 4982 | T/A | Kurang Penting | Asosiasi keamanan Mode Utama dan Mode Diperpanjang IPsec didirikan. |
| 4985 | T/A | Kurang Penting | Status transaksi telah berubah. |
| 5024 | T/A | Kurang Penting | Layanan Windows Firewall berhasil dimulai. |
| 5025 | T/A | Kurang Penting | Layanan Windows Firewall telah dihentikan. |
| 5031 | T/A | Kurang Penting | Layanan Firewall Windows memblokir aplikasi agar tidak menerima koneksi masuk pada jaringan. |
| 5032 | T/A | Kurang Penting | Windows Firewall tidak dapat memberi tahu pengguna bahwa ia memblokir aplikasi agar tidak menerima koneksi masuk pada jaringan. |
| 5033 | T/A | Kurang Penting | Driver Windows Firewall berhasil dimulai. |
| 5034 | T/A | Kurang Penting | Driver Windows Firewall telah dihentikan. |
| 5039 | T/A | Kurang Penting | Kunci registri divirtualisasi. |
| 5040 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Set Autentikasi ditambahkan. |
| 5041 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Set Autentikasi telah diubah. |
| 5042 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Set Autentikasi telah dihapus. |
| 5043 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Aturan Keamanan Koneksi ditambahkan. |
| 5044 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Aturan Keamanan Koneksi dimodifikasi. |
| 5045 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Aturan Keamanan Koneksi dihapus. |
| 5046 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Set Kripto ditambahkan. |
| 5047 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Set Kripto dimodifikasi. |
| 5048 | T/A | Kurang Penting | Perubahan telah dilakukan pada pengaturan IPsec. Set Kripto dihapus. |
| 5050 | T/A | Kurang Penting | Upaya untuk menonaktifkan Windows Firewall secara terprogram menggunakan panggilan ke InetFwProfile.FirewallEnabled(False) |
| 5051 | T/A | Kurang Penting | File divirtualisasi. |
| 5056 | T/A | Kurang Penting | Tes kriptografi mandiri dilakukan. |
| 5057 | T/A | Kurang Penting | Operasi primitif kriptografi gagal. |
| 5058 | T/A | Kurang Penting | Operasi file kunci. |
| 5059 | T/A | Kurang Penting | Operasi migrasi utama. |
| 5060 | T/A | Kurang Penting | Operasi verifikasi gagal. |
| 5061 | T/A | Kurang Penting | Operasi kriptografi. |
| 5062 | T/A | Kurang Penting | Tes kriptografi mode kernel dilakukan. |
| 5063 | T/A | Kurang Penting | Operasi penyedia kriptografi dicoba. |
| 5064 | T/A | Kurang Penting | Operasi konteks kriptografi dicoba. |
| 5065 | T/A | Kurang Penting | Modifikasi konteks kriptografi telah dicoba. |
| 5066 | T/A | Kurang Penting | Operasi fungsi kriptografi dicoba. |
| 5067 | T/A | Kurang Penting | Modifikasi fungsi kriptografi dicoba. |
| 5068 | T/A | Kurang Penting | Operasi penyedia fungsi kriptografi dicoba. |
| 5069 | T/A | Kurang Penting | Operasi properti fungsi kriptografi dicoba. |
| 5070 | T/A | Kurang Penting | Modifikasi properti fungsi kriptografi dicoba. |
| 5125 | T/A | Kurang Penting | Permintaan dikirimkan ke Layanan Responder OCSP |
| 5126 | T/A | Kurang Penting | Sertifikat Penandatanganan secara otomatis diperbarui oleh Layanan Responder OCSP |
| 5127 | T/A | Kurang Penting | Penyedia Pencabutan OCSP berhasil memperbarui informasi pencabutan |
| 5136 | 566 | Kurang Penting | Objek layanan direktori dimodifikasi. |
| 5137 | 566 | Kurang Penting | Objek layanan direktori dibuat. |
| 5138 | T/A | Kurang Penting | Objek layanan direktori tidak dihapus. |
| 5139 | T/A | Kurang Penting | Objek layanan direktori dipindahkan. |
| 5140 | T/A | Kurang Penting | Objek berbagi jaringan diakses. |
| 5141 | T/A | Kurang Penting | Objek layanan direktori dihapus. |
| 5152 | T/A | Kurang Penting | Platform Pemfilteran Windows memblokir paket. |
| 5153 | T/A | Kurang Penting | Filter Platform Pemfilteran Windows yang lebih ketat telah memblokir paket. |
| 5154 | T/A | Kurang Penting | Platform Pemfilteran Windows telah mengizinkan aplikasi atau layanan untuk mendengarkan port untuk koneksi masuk. |
| 5155 | T/A | Kurang Penting | Platform Pemfilteran Windows telah memblokir aplikasi atau layanan agar tidak mendengarkan port untuk koneksi masuk. |
| 5156 | T/A | Kurang Penting | Platform Pemfilteran Windows telah mengizinkan sambungan. |
| 5157 | T/A | Kurang Penting | Platform Pemfilteran Windows telah memblokir sambungan. |
| 5158 | T/A | Kurang Penting | Platform Pemfilteran Windows telah mengizinkan pengikatan ke port lokal. |
| 5159 | T/A | Kurang Penting | Platform Pemfilteran Windows telah memblokir ikatan ke port lokal. |
| 5378 | T/A | Kurang Penting | Delegasi kredensial yang diminta tidak diizinkan oleh kebijakan. |
| 5440 | T/A | Kurang Penting | Panggilan berikut ini ada ketika Mesin Pemfilteran Dasar Platform Pemfilteran Windows dimulai. |
| 5441 | T/A | Kurang Penting | Filter berikut ini ada ketika Mesin Pemfilteran Dasar Platform Pemfilteran Windows dimulai. |
| 5442 | T/A | Kurang Penting | Penyedia berikut hadir ketika Mesin Pemfilteran Dasar Platform Pemfilteran Windows dimulai. |
| 5443 | T/A | Kurang Penting | Konteks penyedia berikut hadir ketika Mesin Pemfilteran Dasar Platform Pemfilteran Windows dimulai. |
| 5444 | T/A | Kurang Penting | Sublayer berikut hadir ketika Mesin Pemfilteran Dasar Platform Pemfilteran Windows dimulai. |
| 5446 | T/A | Kurang Penting | Callout Platform Pemfilteran Windows telah diubah. |
| 5447 | T/A | Kurang Penting | Filter Platform Pemfilteran Windows telah diubah. |
| 5448 | T/A | Kurang Penting | Penyedia Platform Pemfilteran Windows telah diubah. |
| 5449 | T/A | Kurang Penting | Konteks penyedia Platform Pemfilteran Windows telah diubah. |
| 5450 | T/A | Kurang Penting | Sublayer Platform Pemfilteran Windows telah diubah. |
| 5451 | T/A | Kurang Penting | Asosiasi keamanan Mode Cepat IPsec dibuat. |
| 5452 | T/A | Kurang Penting | Asosiasi keamanan Mode Cepat IPsec berakhir. |
| 5456 | T/A | Kurang Penting | Mesin PAStore menerapkan kebijakan IPsec penyimpanan Direktori Aktif di komputer. |
| 5457 | T/A | Kurang Penting | Mesin PAStore gagal menerapkan kebijakan IPsec penyimpanan Direktori Aktif di komputer. |
| 5458 | T/A | Kurang Penting | Mesin PAStore menerapkan salinan kebijakan IPsec penyimpanan Direktori Aktif yang di-cache secara lokal di komputer. |
| 5459 | T/A | Kurang Penting | Mesin PAStore gagal menerapkan salinan kebijakan IPsec penyimpanan Direktori Aktif yang di-cache secara lokal di komputer. |
| 5460 | T/A | Kurang Penting | Mesin PAStore menerapkan kebijakan IPsec penyimpanan registri lokal di komputer. |
| 5461 | T/A | Kurang Penting | Mesin PAStore gagal menerapkan kebijakan IPsec penyimpanan registri lokal di komputer. |
| 5462 | T/A | Kurang Penting | Mesin PAStore gagal menerapkan beberapa aturan kebijakan IPsec aktif pada komputer. Gunakan snap-in Monitor Keamanan IP untuk mendiagnosis masalah. |
| 5463 | T/A | Kurang Penting | MESIN PAStore melakukan polling untuk perubahan pada kebijakan IPsec aktif dan tidak mendeteksi perubahan. |
| 5464 | T/A | Kurang Penting | MESIN PAStore melakukan polling untuk perubahan pada kebijakan IPsec aktif, mendeteksi perubahan, dan menerapkannya ke Layanan IPsec. |
| 5465 | T/A | Kurang Penting | MESIN PAStore menerima kontrol untuk memuat ulang paksa kebijakan IPsec dan berhasil memproses kontrol. |
| 5466 | T/A | Kurang Penting | Mesin PAStore yang dijajaki untuk perubahan pada kebijakan IPsec Direktori Aktif, menentukan bahwa Direktori Aktif tidak dapat dicapai, dan akan menggunakan salinan cache kebijakan IPsec Direktori Aktif sebagai gantinya. Setiap perubahan yang dilakukan pada kebijakan IPsec Direktori Aktif sejak polling terakhir tidak dapat diterapkan. |
| 5467 | T/A | Kurang Penting | MESIN PAStore yang dijajaki untuk perubahan pada kebijakan IPsec Direktori Aktif, menentukan bahwa Direktori Aktif dapat dicapai, dan tidak menemukan perubahan pada kebijakan. Salinan cache kebijakan IPsec Direktori Aktif tidak lagi digunakan. |
| 5468 | T/A | Kurang Penting | MESIN PAStore yang dijajaki untuk perubahan pada kebijakan IPsec Direktori Aktif, menentukan bahwa Direktori Aktif dapat dicapai, menemukan perubahan pada kebijakan, dan menerapkan perubahan tersebut. Salinan cache kebijakan IPsec Direktori Aktif tidak lagi digunakan. |
| 5471 | T/A | Kurang Penting | Mesin PAStore memuat kebijakan IPsec penyimpanan lokal di komputer. |
| 5472 | T/A | Kurang Penting | Mesin PAStore gagal memuat kebijakan IPsec penyimpanan lokal di komputer. |
| 5473 | T/A | Kurang Penting | Kebijakan IPsec penyimpanan direktori yang dimuat Mesin PAStore di komputer. |
| 5474 | T/A | Kurang Penting | Mesin PAStore gagal memuat kebijakan IPsec penyimpanan direktori di komputer. |
| 5477 | T/A | Kurang Penting | Mesin PAStore gagal menambahkan filter mode cepat. |
| 5479 | T/A | Kurang Penting | Layanan IPsec berhasil dimatikan. Penonaktifan Layanan IPsec dapat menempatkan komputer pada risiko serangan jaringan yang lebih besar atau mengekspos komputer terhadap potensi risiko keamanan. |
| 5632 | T/A | Kurang Penting | Permintaan dibuat untuk mengautentikasi ke jaringan nirkabel. |
| 5633 | T/A | Kurang Penting | Permintaan dibuat untuk mengautentikasi ke jaringan berkabel. |
| 5712 | T/A | Kurang Penting | Panggilan Prosedur Jarak Jauh (RPC) telah dicoba. |
| 5888 | T/A | Kurang Penting | Objek di Katalog COM+ dimodifikasi. |
| 5889 | T/A | Kurang Penting | Objek dihapus dari Katalog COM+. |
| 5890 | T/A | Kurang Penting | Objek ditambahkan ke Katalog COM+. |
| 6008 | T/A | Kurang Penting | Pematian sistem sebelumnya tidak terduga |
| 6144 | T/A | Kurang Penting | Kebijakan keamanan dalam objek Kebijakan Grup telah berhasil diterapkan. |
| 6272 | T/A | Kurang Penting | Server Kebijakan Jaringan memberikan akses kepada pengguna. |
| T/A | 561 | Kurang Penting | Handel ke objek diminta. |
| T/A | 563 | Kurang Penting | Objek terbuka untuk dihapus |
| T/A | 625 | Kurang Penting | Tipe Akun Pengguna Diubah |
| T/A | 613 | Kurang Penting | Agen kebijakan IPsec dimulai |
| T/A | 614 | Kurang Penting | Agen kebijakan IPsec dinonaktifkan |
| T/A | 615 | Kurang Penting | Agen kebijakan IPsec |
| T/A | 616 | Kurang Penting | Agen kebijakan IPsec mengalami potensi kegagalan serius |
| 24577 | T/A | Kurang Penting | Enkripsi volume dimulai |
| 24578 | T/A | Kurang Penting | Enkripsi volume dihentikan |
| 24579 | T/A | Kurang Penting | Enkripsi volume selesai |
| 24580 | T/A | Kurang Penting | Dekripsi volume dimulai |
| 24581 | T/A | Kurang Penting | Dekripsi volume dihentikan |
| 24582 | T/A | Kurang Penting | Dekripsi volume selesai |
| 24583 | T/A | Kurang Penting | Utas pekerja konversi untuk volume dimulai |
| 24584 | T/A | Kurang Penting | Utas pekerja konversi untuk volume dihentikan sementara |
| 24588 | T/A | Kurang Penting | Operasi konversi pada volume %2 mengalami kesalahan sektor yang buruk. Harap validasi data pada volume ini |
| 24595 | T/A | Kurang Penting | Volume %2 berisi kluster buruk. Kluster ini akan dilewati selama konversi. |
| 24621 | T/A | Kurang Penting | Pemeriksaan status awal: Transaksi konversi volume bergulir pada %2. |
| 5049 | T/A | Kurang Penting | Asosiasi Keamanan IPsec dihapus. |
| 5478 | T/A | Kurang Penting | Layanan IPsec telah berhasil dimulai. |
Catatan
Lihat peristiwa audit keamanan Windows untuk daftar banyak ID peristiwa keamanan dan maknanya.
Jalankan wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true untuk mendapatkan daftar yang sangat rinci dari semua ID peristiwa keamanan
Untuk informasi selengkapnya tentang ID peristiwa keamanan Windows dan maknanya, lihat artikel Dukungan Microsoft Pengaturan kebijakan audit keamanan dasar. Anda juga dapat mengunduh peristiwa audit keamanan Windows, yang menyediakan informasi peristiwa terperinci untuk sistem operasi yang direferensikan dalam format spreadsheet.