Приложение М. События для мониторинга
Область применения: Windows Server 2022, Windows Server 2019, Windows Server
В следующей таблице перечислены события, которые следует отслеживать в вашей среде, в соответствии с рекомендациями, приведенными в разделе "Мониторинг Active Directory для признаков компрометации". В следующей таблице столбец "Текущий идентификатор события Windows" содержит идентификатор события, так как он реализуется в версиях Windows и Windows Server, которые в настоящее время поддерживаются в основной поддержке.
Столбец "Устаревший идентификатор события Windows" содержит соответствующий идентификатор события в устаревших версиях Windows, таких как клиентские компьютеры под управлением Windows XP или более ранних версий, а также серверы под управлением Windows Server 2003 или более ранних версий. Столбец "Потенциальная критичность" определяет, должно ли событие рассматриваться как низкое, среднее или высококритичное значение при обнаружении атак, а в столбце "Сводка событий" представлено краткое описание события.
Потенциальная критичность high означает, что следует исследовать одно вхождение события. Потенциальная критичность среднего или низкого уровня означает, что эти события следует исследовать только в том случае, если они происходят неожиданно или в числах, значительно превышающих ожидаемый базовый план в измеренном периоде времени. Всем организациям следует проверить эти рекомендации в своих средах перед созданием оповещений, которые требуют обязательного расследования. Каждая среда отличается, и некоторые из событий, ранжированных с потенциальной критической степенью высокого уровня, могут возникать из-за других безвредных событий.
| Текущий идентификатор события Windows | Устаревший идентификатор события Windows | Потенциальная критичность | Сводка по событиям |
|---|---|---|---|
| 4618 | Н/П | Высокая | Произошел отслеживаемый шаблон событий безопасности. |
| 4649 | Н/П | Высокая | Обнаружена атака воспроизведения. Может быть безвредным ложным срабатыванием из-за ошибки неправильной настройки. |
| 4719 | 612 | Высокая | Политика аудита системы была изменена. |
| 4765 | Н/П | Высокая | Журнал безопасности был добавлен в учетную запись. |
| 4766 | Н/П | Высокая | Сбой попытки добавить журнал sid в учетную запись. |
| 4794 | Н/П | Высокая | Предпринята попытка установить режим восстановления служб каталогов. |
| 4897 | 801 | Высокая | Включено разделение ролей: |
| 4964 | Н/П | Высокая | Специальные группы были назначены новому входу в систему. |
| 5124 | Н/П | Высокая | Параметр безопасности был обновлен в службе ответа OCSP |
| Н/П | 550 | Средний и высокий | Возможная атака типа "отказ в обслуживании" (DoS) |
| 1102 | 517 | Средний и высокий | Журнал аудита был очищен |
| 4621 | Н/П | Средняя | Администратор istrator восстановил систему из CrashOnAuditFail. Пользователям, не являющимся администраторами, теперь разрешено выполнять вход. Возможно, некоторые операции, поддерживающие аудит, не были записаны. |
| 4675 | Н/П | Средняя | Идентификаторы SID были отфильтрованы. |
| 4692 | Н/П | Средняя | Была предпринята попытка резервного копирования главного ключа защиты данных. |
| 4693 | Н/П | Средняя | Предпринята попытка восстановления главного ключа защиты данных. |
| 4706 | 610 | Средняя | Новое доверие было создано в домене. |
| 4713 | 617 | Средняя | Политика Kerberos была изменена. |
| 4714 | 618 | Средняя | Изменена политика восстановления зашифрованных данных. |
| 4715 | Н/П | Средняя | Политика аудита (SACL) объекта была изменена. |
| 4716 | 620 | Средняя | Изменены сведения о доверенном домене. |
| 4724 | 628 | Средняя | Предпринята попытка сбросить пароль учетной записи. |
| 4727 | 631 | Средняя | Была создана глобальная группа с поддержкой безопасности. |
| 4735 | 639 | Средняя | Локальная группа с поддержкой безопасности была изменена. |
| 4737 | 641 | Средняя | Глобальная группа с поддержкой безопасности была изменена. |
| 4739 | 643 | Средняя | Политика домена была изменена. |
| 4754 | 658 | Средняя | Была создана универсальная группа с поддержкой безопасности. |
| 4755 | 659 | Средняя | Универсальная группа с поддержкой безопасности была изменена. |
| 4764 | 667 | Средняя | Удалена группа, отключаемая безопасностью |
| 4764 | 668 | Средняя | Тип группы был изменен. |
| 4780 | 684 | Средняя | ACL был установлен в учетных записях, являющихся членами групп администраторов. |
| 4816 | Н/П | Средняя | RPC обнаружил нарушение целостности при расшифровке входящего сообщения. |
| 4865 | Н/П | Средняя | Добавлена запись сведений о доверенном лесу. |
| 4866 | Н/П | Средняя | Удалена запись сведений о доверенном лесу. |
| 4867 | Н/П | Средняя | Изменена запись сведений о доверенном лесу. |
| 4868 | 772 | Средняя | Диспетчер сертификатов отклонил запрос на сертификат, находящийся в состоянии ожидания. |
| 4870 | 774 | Средняя | Службы сертификатов отозвали сертификат. |
| 4882 | 786 | Средняя | Изменены разрешения безопасности служб сертификатов. |
| 4885 | 789 | Средняя | Изменен фильтр аудита для служб сертификатов. |
| 4890 | 794 | Средняя | Изменены параметры диспетчера сертификатов для служб сертификатов. |
| 4892 | 796 | Средняя | Изменено свойство служб сертификатов. |
| 4896 | 800 | Средняя | Одна или несколько строк были удалены из базы данных сертификатов. |
| 4906 | Н/П | Средняя | Значение CrashOnAuditFail изменилось. |
| 4907 | Н/П | Средняя | Параметры аудита объекта были изменены. |
| 4908 | Н/П | Средняя | Изменена таблица "Специальные группы входа". |
| 4912 | 807 | Средняя | Политика аудита пользователей была изменена. |
| 4960 | Н/П | Средняя | IPsec удаляет входящий пакет, который завершился ошибкой целостности проверка. Если эта проблема сохраняется, это может указывать на проблему сети или изменения пакетов при передаче на этот компьютер. Убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. |
| 4961 | Н/П | Средняя | IPsec удаляет входящий пакет, который завершился ошибкой воспроизведения проверка. Если эта проблема сохраняется, это может указывать на атаку воспроизведения на этом компьютере. |
| 4962 | Н/П | Средняя | IPsec удаляет входящий пакет, который завершился ошибкой воспроизведения проверка. Входящий пакет слишком низкий порядковый номер, чтобы убедиться, что это не повтор. |
| 4963 | Н/П | Средняя | IPsec удаляет входящие текстовые пакеты, которые должны быть защищены. Обычно это связано с изменением политики IPsec удаленного компьютера без информирования этого компьютера. Это также может быть попытка спуфингов атаки. |
| 4965 | Н/П | Средняя | IPsec получил пакет с удаленного компьютера с неправильным индексом параметров безопасности (SPI). Обычно это вызвано сбоем оборудования, которое повреждено пакетами. Если эти ошибки сохраняются, убедитесь, что пакеты, отправленные с удаленного компьютера, совпадают с теми, которые были получены этим компьютером. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. В этом случае, если подключение не препятствует, эти события можно игнорировать. |
| 4976 | Н/П | Средняя | Во время согласования с основным режимом IPsec получил недопустимый пакет переговоров. Если эта проблема сохраняется, это может указывать на проблему сети или попытку изменить или воспроизвести этот переговор. |
| 4977 | Н/П | Средняя | Во время переговоров в режиме быстрого режима IPsec получил недопустимый пакет переговоров. Если эта проблема сохраняется, это может указывать на проблему сети или попытку изменить или воспроизвести этот переговор. |
| 4978 | Н/П | Средняя | Во время переговоров в расширенном режиме IPsec получил недопустимый пакет согласования. Если эта проблема сохраняется, это может указывать на проблему сети или попытку изменить или воспроизвести этот переговор. |
| 4983 | Н/П | Средняя | Не удалось выполнить согласование расширенного режима IPsec. Удалена соответствующая связь безопасности в главном режиме. |
| 4984 | Н/П | Средняя | Не удалось выполнить согласование расширенного режима IPsec. Удалена соответствующая связь безопасности в главном режиме. |
| 5027 | Н/П | Средняя | Служба брандмауэра Windows не смогла получить политику безопасности из локального хранилища. Служба может продолжить применять текущую политику. |
| 5028 | Н/П | Средняя | Служба брандмауэра Windows не смогла проанализировать новую политику безопасности. Служба продолжит применять текущую политику. |
| 5029 | Н/П | Средняя | Не удалось инициализировать драйвер службой брандмауэра Windows. Служба продолжит применять текущую политику. |
| 5030 | Н/П | Средняя | Не удалось запустить службу брандмауэра Windows. |
| 0,35 долл. США | Н/П | Средняя | Не удалось запустить драйвер брандмауэра Windows. |
| 5037 | Н/П | Средняя | Драйвер брандмауэра Windows обнаружил критичную ошибку среды выполнения. Завершение работы. |
| 5038 | Н/П | Средняя | Целостность кода определяет, что хэш изображения файла недопустим. Возможно, файл поврежден из-за неавторизованного изменения или недопустимый хэш может указывать на возможную ошибку дискового устройства. |
| 5120 | Н/П | Средняя | Запущена служба ответа OCSP |
| 5121 | Н/П | Средняя | Служба ответа OCSP остановлена |
| 5122 | Н/П | Средняя | Запись конфигурации, измененная в службе ответа OCSP |
| 5123 | Н/П | Средняя | Запись конфигурации, измененная в службе ответа OCSP |
| 5376 | Н/П | Средняя | Учетные данные диспетчера учетных данных были резервированы. |
| 5377 | Н/П | Средняя | Учетные данные диспетчера учетных данных были восстановлены из резервной копии. |
| 5453 | Н/П | Средняя | Сбой согласования IPsec с удаленным компьютером, так как служба IKE и AuthIP IPsec Keying Modules (IKEEXT) не запущена. |
| 5480 | Н/П | Средняя | Не удалось получить полный список сетевых интерфейсов на компьютере. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте оснастку монитора безопасности IP для диагностики проблемы. |
| 5483 | Н/П | Средняя | Службы IPsec не удалось инициализировать сервер RPC. Не удалось запустить службы IPsec. |
| 5484 | Н/П | Средняя | Службы IPsec столкнулись с критическим сбоем и завершились. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. |
| 5485 | Н/П | Средняя | Службы IPsec не смогли обработать некоторые фильтры IPsec в событии plug-and-play для сетевых интерфейсов. Это может привести к потенциальному риску безопасности, так как некоторые сетевые интерфейсы могут не получить защиту, предоставляемую примененными фильтрами IPsec. Используйте оснастку монитора безопасности IP для диагностики проблемы. |
| 5827 | Н/П | Средняя | Служба Netlogon отрицала подключение к защищенному каналу Netlogon из учетной записи компьютера. |
| 5828 | Н/П | Средняя | Служба Netlogon отрицала подключение к защищенному каналу Netlogon с помощью учетной записи доверия. |
| 6145 | Н/П | Средняя | При обработке политики безопасности в объектах групповой политики произошла одна или несколько ошибок. |
| 6273 | Н/П | Средняя | Сервер политики сети отказал пользователю в доступе. |
| 6274 | Н/П | Средняя | Сервер политики сети не карта запрос пользователя. |
| 6275 | Н/П | Средняя | Сервер политики сети не карта запрос на учет для пользователя. |
| 6276 | Н/П | Средняя | Сервер политики сети заместил пользователя в карантин. |
| 6277 | Н/П | Средняя | Сервер политики сети предоставил пользователю доступ, но поставил его на пробацию, так как узел не соответствовал определенной политике работоспособности. |
| 6278 | Н/П | Средняя | Сервер политики сети предоставил пользователю полный доступ, так как узел выполнил определенную политику работоспособности. |
| 6279 | Н/П | Средняя | Сервер политики сети заблокирован учетной записи пользователя из-за повторных неудачных попыток проверки подлинности. |
| 6280 | Н/П | Средняя | Сервер политики сети разблокировал учетную запись пользователя. |
| - | 640 | Средняя | Изменена общая база данных учетной записи |
| - | 619 | Средняя | Изменено качество политики обслуживания |
| 24586 | Н/П | Средняя | Возникла ошибка при преобразовании тома |
| 24592 | Н/П | Средняя | Сбой попытки автоматического перезапуска преобразования на томе %2. |
| 24593 | Н/П | Средняя | Запись метаданных: том %2 возвращает ошибки при попытке изменить метаданные. Если сбои продолжаются, расшифровка тома |
| 24594 | Н/П | Средняя | Перестроение метаданных: попытка записи копии метаданных на томе %2 завершилась сбоем и может отображаться как повреждение диска. Если сбои продолжаются, расшифровка тома. |
| 4608 | 512 | Низкая | Windows запускается. |
| 4609 | 513 | Низкая | Windows завершает работу. |
| 4610 | 514 | Низкая | Пакет проверки подлинности загружен локальным центром безопасности. |
| 4611 | 515 | Низкая | Процесс доверенного входа зарегистрирован в локальном органе безопасности. |
| 4612 | 516 | Низкая | Внутренние ресурсы, выделенные для очереди сообщений аудита, были исчерпаны, что привело к потере некоторых аудитов. |
| 4614 | 518 | Низкая | Пакет уведомлений загружен диспетчером учетных записей безопасности. |
| 4615 | 519 | Низкая | Недопустимое использование порта LPC. |
| 4616 | 520 | Низкая | Системное время было изменено. |
| 4622 | Н/П | Низкая | Пакет безопасности загружен локальным центром безопасности. |
| 4624 | 528,540 | Низкая | Учетная запись успешно вошли в систему. |
| 4625 | 529-537,539 | Низкая | Не удалось войти в учетную запись. |
| 4634 | 538 | Низкая | Учетная запись была отключена. |
| 4646 | Н/П | Низкая | Запущен режим защиты от DoS. |
| 4647 | 551 | Низкая | Вход, инициированный пользователем. |
| 4648 | 552 | Низкая | Вход был предпринят с помощью явных учетных данных. |
| 4650 | Н/П | Низкая | Была создана связь безопасности основного режима IPsec. Расширенный режим не включен. Проверка подлинности сертификата не использовалась. |
| 4651 | Н/П | Низкая | Была создана связь безопасности основного режима IPsec. Расширенный режим не включен. Сертификат использовался для проверки подлинности. |
| 4652 | Н/П | Низкая | Не удалось выполнить согласование основного режима IPsec. |
| 4653 | Н/П | Низкая | Не удалось выполнить согласование основного режима IPsec. |
| 4654 | Н/П | Низкая | Не удалось выполнить согласование быстрого режима IPsec. |
| 4655 | Н/П | Низкая | Прекращена связь безопасности основного режима IPsec. |
| 4656 | 560 | Низкая | Запрошен дескриптор объекта. |
| 4657 | 567 | Низкая | Значение реестра было изменено. |
| 4658 | 562 | Низкая | Дескриптор объекта был закрыт. |
| 4659 | Н/П | Низкая | Дескриптор объекта был запрошен с намерением удаления. |
| 4660 | 564 | Низкая | Объект был удален. |
| 4661 | 565 | Низкая | Запрошен дескриптор объекта. |
| 4662 | 566 | Низкая | Операция была выполнена для объекта. |
| 4663 | 567 | Низкая | Предпринята попытка доступа к объекту. |
| 4664 | Н/П | Низкая | Предпринята попытка создать жесткую связь. |
| 4665 | Н/П | Низкая | Предпринята попытка создать контекст клиента приложения. |
| 4666 | Н/П | Низкая | Приложение попыталось выполнить операцию: |
| 4667 | Н/П | Низкая | Удален контекст клиента приложения. |
| 4668 | Н/П | Низкая | Приложение инициализировано. |
| 4670 | Н/П | Низкая | Изменены разрешения для объекта. |
| 4671 | Н/П | Низкая | Приложение попыталось получить доступ к заблокированной порядковой номеру через ТБ S. |
| 4672 | 576 | Низкая | Специальные привилегии, назначенные новому входу. |
| 4673 | 577 | Низкая | Была вызвана привилегированная служба. |
| 4674 | 578 | Низкая | Операция была предпринята для привилегированного объекта. |
| 4688 | 592 | Низкая | Был создан новый процесс. |
| 4689 | 593 | Низкая | Процесс завершился. |
| 4690 | 594 | Низкая | Предпринята попытка дублировать дескриптор объекта. |
| 4691 | 595 | Низкая | Запрошен косвенный доступ к объекту. |
| 4694 | Н/П | Низкая | Предпринята попытка защиты защищенных данных с возможностью аудита. |
| 4695 | Н/П | Низкая | Была предпринята попытка отменить защиту защищенных данных с возможностью аудита. |
| 4696 | 600 | Низкая | Основной маркер был назначен процессу. |
| 4697 | 601 | Низкая | Попытка установки службы |
| 4698 | 602 | Низкая | Была создана запланированная задача. |
| 4699 | 602 | Низкая | Запланированная задача была удалена. |
| 4700 | 602 | Низкая | Запланированная задача была включена. |
| 4701 | 602 | Низкая | Запланированная задача отключена. |
| 4702 | 602 | Низкая | Запланированная задача была обновлена. |
| 4704 | 608 | Низкая | Пользователю было назначено право. |
| 4705 | 609 | Низкая | Пользователь был удален. |
| 4707 | 611 | Низкая | Было удалено доверие к домену. |
| 4709 | Н/П | Низкая | Службы IPsec были запущены. |
| 4710 | Н/П | Низкая | Службы IPsec отключены. |
| 4711 | Н/П | Низкая | Может содержать любой из следующих элементов: модуль PAStore применяет локально кэшированную копию политики IPsec хранилища Active Directory на компьютере. Модуль PAStore применил политику IPsec хранилища Active Directory на компьютере. Модуль PAStore применил политику IPsec локального хранилища реестра на компьютере. Не удалось применить локально кэшированную копию политики IPsec хранилища Active Directory на компьютере. Не удалось применить политику IPsec хранилища Active Directory на компьютере. Подсистема PAStore не смогла применить политику IPsec локального хранилища реестра на компьютере. Не удалось применить некоторые правила активной политики IPsec на компьютере. Подсистема PAStore не удалось загрузить политику IPsec хранилища каталогов на компьютере. PaStore Engine загружает политику IPsec хранилища каталогов на компьютере. Подсистема PAStore не удалось загрузить политику IPsec локального хранилища на компьютере. Модуль PAStore загружает политику IPsec локального хранилища на компьютере. Модуль PAStore проверил изменения в активной политике IPsec и не обнаружил никаких изменений. |
| 4712 | Н/П | Низкая | Службы IPsec столкнулись с потенциально серьезным сбоем. |
| 4717 | 621 | Низкая | Системный доступ к безопасности был предоставлен учетной записи. |
| 4718 | 622 | Низкая | Доступ к системе был удален из учетной записи. |
| 4720 | 624 | Низкая | Была создана учетная запись пользователя. |
| 4722 | 626 | Низкая | Учетная запись пользователя включена. |
| 4723 | 627 | Низкая | Предпринята попытка изменить пароль учетной записи. |
| 4725 | 629 | Низкая | Учетная запись пользователя отключена. |
| 4726 | 630 | Низкая | Удалена учетная запись пользователя. |
| 4728 | 632 | Низкая | Участник был добавлен в глобальную группу с поддержкой безопасности. |
| 4729 | 633 | Низкая | Участник был удален из глобальной группы с поддержкой безопасности. |
| 4730 | 634 | Низкая | Глобальная группа с поддержкой безопасности была удалена. |
| 4731 | 635 | Низкая | Была создана локальная группа с поддержкой безопасности. |
| 4732 | 636 | Низкая | Участник был добавлен в локальную группу с поддержкой безопасности. |
| 4733 | 637 | Низкая | Участник был удален из локальной группы с поддержкой безопасности. |
| 4734 | 638 | Низкая | Локальная группа с поддержкой безопасности была удалена. |
| 4738 | 642 | Низкая | Учетная запись пользователя была изменена. |
| 4740 | 644 | Низкая | Учетная запись пользователя заблокирована. |
| 4741 | 645 | Низкая | Учетная запись компьютера была изменена. |
| 4742 | 646 | Низкая | Учетная запись компьютера была изменена. |
| 4743 | 647 | Низкая | Удалена учетная запись компьютера. |
| 4744 | 648 | Низкая | Была создана локальная группа, отключаемая безопасностью. |
| 4745 | 649 | Низкая | Была изменена локальная группа, отключаемая безопасностью. |
| 4746 | 650 | Низкая | Участник был добавлен в локальную группу, отключаемую безопасностью. |
| 4747 | 651 | Низкая | Участник был удален из локальной группы, отключаемой безопасностью. |
| 4748 | 652 | Низкая | Удалена локальная группа, отключаемая безопасностью. |
| 4749 | 653 | Низкая | Была создана глобальная группа, отключаемая безопасностью. |
| 4750 | 654 | Низкая | Глобальная группа, отключаемая безопасностью, была изменена. |
| 4751 | 655 | Низкая | Участник был добавлен в глобальную группу, отключаемую безопасностью. |
| 4752 | 656 | Низкая | Участник был удален из глобальной группы, отключаемой безопасностью. |
| 4753 | 657 | Низкая | Удалена глобальная группа, отключаемая безопасностью. |
| 4756 | 660 | Низкая | Участник был добавлен в универсальную группу с поддержкой безопасности. |
| 4757 | 661 | Низкая | Участник был удален из универсальной группы с поддержкой безопасности. |
| 4758 | 662 | Низкая | Удалена универсальная группа с поддержкой безопасности. |
| 4759 | 663 | Низкая | Была создана универсальная группа, отключаемая безопасностью. |
| 4760 | 664 | Низкая | Была изменена универсальная группа, отключаемая безопасностью. |
| 4761 | 665 | Низкая | Участник был добавлен в универсальную группу, отключаемую безопасностью. |
| 4762 | 666 | Низкая | Член был удален из отключенной безопасности универсальной группы. |
| 4767 | 671 | Низкая | Учетная запись пользователя была разблокирована. |
| 4768 | 672,676 | Низкая | Запрос на проверку подлинности Kerberos (TGT). |
| 4769 | 673 | Низкая | Запрос на обслуживание Kerberos. |
| 4770 | 674 | Низкая | Запрос на обслуживание Kerberos был продлен. |
| 4771 | 675 | Низкая | Сбой предварительной проверки подлинности Kerberos. |
| 4772 | 672 | Низкая | Сбой запроса на проверку подлинности Kerberos. |
| 4774 | 678 | Низкая | Учетная запись была сопоставлена для входа. |
| 4775 | 679 | Низкая | Не удалось сопоставить учетную запись для входа. |
| 4776 | 680,681 | Низкая | Контроллер домена попытался проверить учетные данные для учетной записи. |
| 4777 | Н/П | Низкая | Контроллер домена не смог проверить учетные данные для учетной записи. |
| 4778 | 682 | Низкая | Сеанс был повторно подключен к станции окон. |
| 4779 | 683 | Низкая | Сеанс был отключен от станции окон. |
| 4781 | 685 | Низкая | Имя учетной записи было изменено: |
| 4782 | Н/П | Низкая | Доступ к учетной записи хэша паролей. |
| 4783 | 667 | Низкая | Была создана базовая группа приложений. |
| 4784 | Н/П | Низкая | Была изменена базовая группа приложений. |
| 4785 | 689 | Низкая | Участник был добавлен в базовую группу приложений. |
| 4786 | 690 | Низкая | Член был удален из базовой группы приложений. |
| 4787 | 691 | Низкая | Немембер был добавлен в базовую группу приложений. |
| 4788 | 692 | Низкая | Немембер был удален из базовой группы приложений. |
| 4789 | 693 | Низкая | Была удалена базовая группа приложений. |
| 4790 | 694 | Низкая | Была создана группа запросов LDAP. |
| 4793 | Н/П | Низкая | Был вызван API проверки политики паролей. |
| 4800 | Н/П | Низкая | Рабочая станция была заблокирована. |
| 4801 | Н/П | Низкая | Рабочая станция была разблокирована. |
| 4802 | Н/П | Низкая | Вызывается средство сохранения экрана. |
| 4803 | Н/П | Низкая | Заставка экрана была отклонена. |
| 4864 | Н/П | Низкая | Обнаружено столкновение пространства имен. |
| 4869 | 773 | Низкая | Службы сертификатов получили повторно отправленный запрос на сертификат. |
| 4871 | 775 | Низкая | Службы сертификатов получили запрос на публикацию списка отзыва сертификатов (CRL). |
| 4872 | 776 | Низкая | Службы сертификатов опубликовали список отзыва сертификатов (CRL). |
| 4873 | 777 | Низкая | Изменено расширение запроса на сертификат. |
| 4874 | 778 | Низкая | Изменен один или несколько атрибутов запроса на сертификат. |
| 4 875 | 779 | Низкая | Службы сертификатов получили запрос на завершение работы. |
| 4876 | 780 | Низкая | Начата архивация служб сертификатов. |
| 4877 | 781 | Низкая | Архивация служб сертификатов завершена. |
| 4878 | 782 | Низкая | Начато восстановление служб сертификатов. |
| 4879 | 783 | Низкая | Восстановление служб сертификатов завершено. |
| 4880 | 784 | Низкая | Службы сертификатов запущены. |
| 4881 | 785 | Низкая | Службы сертификатов остановлены. |
| 4883 | 787 | Низкая | Службы сертификатов получили архивированный ключ. |
| 4884 | 788 | Низкая | Службы сертификатов импортировали сертификат в свою базу данных. |
| 4886 | 790 | Низкая | Службы сертификатов получили запрос на сертификат. |
| 4887 | 791 | Низкая | Службы сертификатов одобрили запрос на сертификат и выдали сертификат. |
| 4888 | 792 | Низкая | Службы сертификатов отклонили запрос на сертификат. |
| 4889 | 793 | Низкая | Службы сертификатов установили для запроса на сертификат отложенное состояние. |
| 4891 | 795 | Низкая | Изменена запись конфигурации для служб сертификатов. |
| 4893 | 797 | Низкая | Службы сертификатов выполнили архивацию ключа. |
| 4894 | 798 | Низкая | Службы сертификатов выполнили импорт и архивацию ключа. |
| 4895 | 799 | Низкая | Службы сертификатов опубликовали сертификат ЦС в службах домен Active Directory. |
| 4898 | 802 | Низкая | Службы сертификатов загрузили шаблон. |
| 4902 | Н/П | Низкая | Была создана таблица политик аудита для каждого пользователя. |
| 4904 | Н/П | Низкая | Предпринята попытка зарегистрировать источник событий безопасности. |
| 4905 | Н/П | Низкая | Предпринята попытка отменить регистрацию источника событий безопасности. |
| 4909 | Н/П | Низкая | Изменены параметры локальной политики для ТБ S. |
| 4910 | Н/П | Низкая | Параметры групповой политики для ТБ S были изменены. |
| 4928 | Н/П | Низкая | Был установлен контекст именования источников Active Directory реплика. |
| 4929 | Н/П | Низкая | Был удален контекст именования источников Active Directory реплика. |
| 4930 | Н/П | Низкая | Изменен контекст именования источников Active Directory реплика. |
| 4931 | Н/П | Низкая | Изменен контекст именования назначения в Active Directory реплика. |
| 4932 | Н/П | Низкая | Началась синхронизация реплика контекста именования Active Directory. |
| 4933 | Н/П | Низкая | Завершена синхронизация реплика контекста именования Active Directory. |
| 4934 | Н/П | Низкая | Атрибуты объекта Active Directory были реплика. |
| 4935 | Н/П | Низкая | Сбой репликации начинается. |
| 4936 | Н/П | Низкая | Сбой репликации заканчивается. |
| 4937 | Н/П | Низкая | Неустранивный объект был удален из реплика. |
| 4944 | Н/П | Низкая | Следующая политика активна при запуске брандмауэра Windows. |
| 4945 | Н/П | Низкая | Правило было указано при запуске брандмауэра Windows. |
| 4946 | Н/П | Низкая | Изменение было внесено в список исключений брандмауэра Windows. Было добавлено правило. |
| 4947 | Н/П | Низкая | Изменение было внесено в список исключений брандмауэра Windows. Правило было изменено. |
| 4948 | Н/П | Низкая | Изменение было внесено в список исключений брандмауэра Windows. Правило было удалено. |
| 4949 | Н/П | Низкая | Параметры брандмауэра Windows были восстановлены в значениях по умолчанию. |
| 4950 | Н/П | Низкая | Изменен параметр брандмауэра Windows. |
| 4951 | Н/П | Низкая | Правило игнорируется, так как его основной номер версии не распознан брандмауэром Windows. |
| 4952 | Н/П | Низкая | Части правила игнорируются, так как его дополнительный номер версии не был распознан брандмауэром Windows. Другие части правила будут применены. |
| 4953 | Н/П | Низкая | Правило игнорируется брандмауэром Windows, так как оно не может проанализировать правило. |
| 4954 | Н/П | Низкая | Параметры групповой политики брандмауэра Windows изменились. Были применены новые параметры. |
| 4956 | Н/П | Низкая | Брандмауэр Windows изменил активный профиль. |
| 4957 | Н/П | Низкая | Брандмауэр Windows не применял следующее правило: |
| 4958 | Н/П | Низкая | Брандмауэр Windows не применял следующее правило, так как правило ссылалось на элементы, не настроенные на этом компьютере: |
| 4979 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4980 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4981 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4982 | Н/П | Низкая | Были установлены связи безопасности основного режима IPsec и расширенного режима. |
| 4985 | Н/П | Низкая | Состояние транзакции изменилось. |
| 5024 | Н/П | Низкая | Служба брандмауэра Windows успешно запущена. |
| 5025 | Н/П | Низкая | Служба брандмауэра Windows остановлена. |
| 5031 | Н/П | Низкая | Служба брандмауэра Windows заблокировала прием входящих подключений в сети. |
| 5032 | Н/П | Низкая | Брандмауэр Windows не смог уведомить пользователя о том, что приложение заблокировало прием входящих подключений в сети. |
| 5033 | Н/П | Низкая | Драйвер брандмауэра Windows успешно запущен. |
| 5034 | Н/П | Низкая | Драйвер брандмауэра Windows остановлен. |
| 5039 | Н/П | Низкая | Раздел реестра был виртуализирован. |
| 5040 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Добавлен набор проверки подлинности. |
| 5041 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Набор проверки подлинности был изменен. |
| 5042 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Набор проверки подлинности был удален. |
| 5043 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Добавлено правило безопасности Подключение ion. |
| 5044 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Было изменено правило безопасности Подключение ion. |
| 5045 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Было удалено правило безопасности Подключение ion. |
| 5046 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Добавлен набор шифрования. |
| 5047 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Набор шифрования был изменен. |
| 5048 | Н/П | Низкая | Изменение было внесено в параметры IPsec. Был удален набор шифрования. |
| 5050 | Н/П | Низкая | Попытка программно отключить брандмауэр Windows с помощью вызова InetFwProfile.FirewallEnabled(False) |
| 5051 | Н/П | Низкая | Файл был виртуализирован. |
| 5056 | Н/П | Низкая | Был выполнен криптографический само test. |
| 5057 | Н/П | Низкая | Не удалось выполнить криптографическую примитивную операцию. |
| 5058 | Н/П | Низкая | Операция файла ключа. |
| 5059 | Н/П | Низкая | Операция миграции ключей. |
| 5060 | Н/П | Низкая | Сбой операции проверки. |
| 5061 | Н/П | Низкая | Операция шифрования. |
| 5062 | Н/П | Низкая | Была выполнена криптографическая самоверка в режиме ядра. |
| 5063 | Н/П | Низкая | Была предпринята попытка выполнить операцию поставщика шифрования. |
| 5064 | Н/П | Низкая | Была предпринята операция криптографического контекста. |
| 5065 | Н/П | Низкая | Была предпринята попытка изменения криптографического контекста. |
| 5066 | Н/П | Низкая | Была предпринята попытка операции криптографической функции. |
| 5067 | Н/П | Низкая | Была предпринята попытка изменения криптографической функции. |
| 5068 | Н/П | Низкая | Была предпринята попытка выполнить операцию поставщика криптографических функций. |
| 5069 | Н/П | Низкая | Была предпринята попытка операции свойства криптографической функции. |
| 5070 | Н/П | Низкая | Была предпринята попытка изменения свойства криптографической функции. |
| 5125 | Н/П | Низкая | Запрос был отправлен службе ответа OCSP |
| 5126 | Н/П | Низкая | Сертификат подписи был автоматически обновлен службой ответа OCSP |
| 5127 | Н/П | Низкая | Поставщик отзыва OCSP успешно обновил сведения о отзывах |
| 5136 | 566 | Низкая | Объект службы каталогов был изменен. |
| 5137 | 566 | Низкая | Был создан объект службы каталогов. |
| 5138 | Н/П | Низкая | Объект службы каталогов был отключен. |
| 5139 | Н/П | Низкая | Объект службы каталогов был перемещен. |
| 5140 | Н/П | Низкая | Доступ к объекту общей папки сети. |
| 5141 | Н/П | Низкая | Объект службы каталогов был удален. |
| 5152 | Н/П | Низкая | Платформа фильтрации Windows заблокирована пакетом. |
| 5153 | Н/П | Низкая | Более строгий фильтр платформы фильтрации Windows заблокировал пакет. |
| 5154 | Н/П | Низкая | Платформа фильтрации Windows позволила приложению или службе прослушивать порт для входящих подключений. |
| 5155 | Н/П | Низкая | Платформа фильтрации Windows заблокировала прослушивание приложения или службы через порт для входящих подключений. |
| 5156 | Н/П | Низкая | Платформа фильтрации Windows разрешила подключение. |
| 5157 | Н/П | Низкая | Платформа фильтрации Windows заблокировала подключение. |
| 5158 | Н/П | Низкая | Платформа фильтрации Windows разрешила привязку к локальному порту. |
| 5159 | Н/П | Низкая | Платформа фильтрации Windows заблокировала привязку к локальному порту. |
| 5378 | Н/П | Низкая | Делегирование запрошенных учетных данных было запрещено политикой. |
| 5440 | Н/П | Низкая | При запуске подсистемы базовой фильтрации платформы фильтрации Windows присутствовал следующий выносок. |
| 5441 | Н/П | Низкая | Следующий фильтр присутствует при запуске ядра базовой фильтрации платформы фильтрации Windows. |
| 5442 | Н/П | Низкая | При запуске подсистемы базовой фильтрации платформы фильтрации Windows присутствовал следующий поставщик. |
| 5443 | Н/П | Низкая | При запуске подсистемы базовой фильтрации платформы фильтрации Windows присутствует следующий контекст поставщика. |
| 5444 | Н/П | Низкая | При запуске подсистемы базовой фильтрации платформы фильтрации Windows присутствовал следующий подложник. |
| 5446 | Н/П | Низкая | Выноска платформы фильтрации Windows была изменена. |
| 5447 | Н/П | Низкая | Изменен фильтр платформы фильтрации Windows. |
| 5448 | Н/П | Низкая | Поставщик платформы фильтрации Windows был изменен. |
| 5449 | Н/П | Низкая | Изменен контекст поставщика платформы фильтрации Windows. |
| 5450 | Н/П | Низкая | Подложник платформы фильтрации Windows был изменен. |
| 5451 | Н/П | Низкая | Была создана связь безопасности быстрого режима IPsec. |
| 5452 | Н/П | Низкая | Прекращена связь безопасности в режиме быстрого режима IPsec. |
| 5456 | Н/П | Низкая | Модуль PAStore применил политику IPsec хранилища Active Directory на компьютере. |
| 5457 | Н/П | Низкая | Не удалось применить политику IPsec хранилища Active Directory на компьютере. |
| 5458 | Н/П | Низкая | Модуль PAStore применяет локально кэшированную копию политики IPsec хранилища Active Directory на компьютере. |
| 5459 | Н/П | Низкая | Не удалось применить локально кэшированную копию политики IPsec хранилища Active Directory на компьютере. |
| 5460 | Н/П | Низкая | Модуль PAStore применил политику IPsec локального хранилища реестра на компьютере. |
| 5461 | Н/П | Низкая | Подсистема PAStore не смогла применить политику IPsec локального хранилища реестра на компьютере. |
| 5462 | Н/П | Низкая | Не удалось применить некоторые правила активной политики IPsec на компьютере. Используйте оснастку монитора безопасности IP для диагностики проблемы. |
| 5463 | Н/П | Низкая | Модуль PAStore проверил изменения в активной политике IPsec и не обнаружил никаких изменений. |
| 5464 | Н/П | Низкая | Модуль PAStore опрашивали изменения в активной политике IPsec, обнаруживали изменения и применяли их к службам IPsec. |
| 5465 | Н/П | Низкая | Модуль PAStore получил элемент управления для принудительной перезагрузки политики IPsec и успешно обработал элемент управления. |
| 5466 | Н/П | Низкая | Модуль PAStore, опрашив изменения политики IPsec Active Directory, определил, что Active Directory не может быть достигнут, и будет использовать кэшированную копию политики IPsec Active Directory. Любые изменения, внесенные в политику IPsec Active Directory с момента применения последнего опроса. |
| 5467 | Н/П | Низкая | Модуль PAStore, опрашив изменения политики IPsec Active Directory, определил, что Active Directory можно достичь и не обнаружил никаких изменений в политике. Кэшированная копия политики IPsec Active Directory больше не используется. |
| 5468 | Н/П | Низкая | Модуль PAStore опросил изменения политики IPsec Active Directory, определил, что Active Directory можно достичь, найти изменения в политике и применить эти изменения. Кэшированная копия политики IPsec Active Directory больше не используется. |
| 5471 | Н/П | Низкая | Модуль PAStore загружает политику IPsec локального хранилища на компьютере. |
| 5472 | Н/П | Низкая | Подсистема PAStore не удалось загрузить политику IPsec локального хранилища на компьютере. |
| 5473 | Н/П | Низкая | PaStore Engine загружает политику IPsec хранилища каталогов на компьютере. |
| 5474 | Н/П | Низкая | Подсистема PAStore не удалось загрузить политику IPsec хранилища каталогов на компьютере. |
| 5477 | Н/П | Низкая | Модуль PAStore не удалось добавить фильтр быстрого режима. |
| 5479 | Н/П | Низкая | Службы IPsec успешно завершены. Завершение работы служб IPsec может привести компьютер к большему риску сетевой атаки или предоставить компьютеру потенциальные риски безопасности. |
| 5632 | Н/П | Низкая | Был сделан запрос на проверку подлинности в беспроводной сети. |
| 5633 | Н/П | Низкая | Запрос был сделан для проверки подлинности в проводной сети. |
| 5712 | Н/П | Низкая | Была предпринята попытка удаленного вызова процедуры (RPC). |
| 5888 | Н/П | Низкая | Объект в каталоге COM+ был изменен. |
| 5889 | Н/П | Низкая | Объект был удален из каталога COM+. |
| 5890 | Н/П | Низкая | Объект был добавлен в каталог COM+. |
| 6008 | Н/П | Низкая | Предыдущее завершение работы системы было непредвиденным |
| 6144 | Н/П | Низкая | Политика безопасности в объектах групповой политики успешно применена. |
| 6272 | Н/П | Низкая | Сервер политики сети предоставил пользователю доступ. |
| Н/П | 561 | Низкая | Запрошен дескриптор объекта. |
| Н/П | 563 | Низкая | Объект, открытый для удаления |
| Н/П | 625 | Низкая | Изменен тип учетной записи пользователя |
| Н/П | 613 | Низкая | Агент политики IPsec запущен |
| Н/П | 614 | Низкая | Агент политики IPsec отключен |
| Н/П | 615 | Низкая | Агент политики IPsec |
| Н/П | 616 | Низкая | Агент политики IPsec столкнулся с потенциальным серьезным сбоем |
| 24577 | Н/П | Низкая | Шифрование запущенного тома |
| 24578 | Н/П | Низкая | Шифрование тома остановлено |
| 24579 | Н/П | Низкая | Шифрование завершенного тома |
| 24580 | Н/П | Низкая | Расшифровка тома, запущенная |
| 24581 | Н/П | Низкая | Расшифровка тома остановлена |
| 24582 | Н/П | Низкая | Расшифровка завершенного тома |
| 24583 | Н/П | Низкая | Рабочий поток преобразования для тома, запущенного |
| 24584 | Н/П | Низкая | Рабочий поток преобразования для тома временно остановлен |
| 24588 | Н/П | Низкая | Операция преобразования на томе %2 столкнулась с ошибкой в секторе. Проверьте данные на этом томе |
| 24595 | Н/П | Низкая | Том %2 содержит плохие кластеры. Эти кластеры будут пропущены во время преобразования. |
| 24621 | Н/П | Низкая | Начальное состояние проверка: транзакция преобразования тома скользящего объема на %2. |
| 5049 | Н/П | Низкая | Связь безопасности IPsec была удалена. |
| 5478 | Н/П | Низкая | Службы IPsec успешно запущены. |
Примечание.
Ознакомьтесь с событиями аудита безопасности Windows для списка идентификаторов событий безопасности и их значений.
Запустите wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true , чтобы получить очень подробный список всех идентификаторов событий безопасности
Дополнительные сведения об идентификаторах событий безопасности Windows и их значениях см. в служба поддержки Майкрософт статье "Основные параметры политики аудита безопасности". Вы также можете скачать события аудита безопасности Windows, которые предоставляют подробные сведения о событиях для указанных операционных систем в формате электронной таблицы.