附录 L:事件监视器

适用范围:Windows Server 2022、Windows Server 2019、Windows Server

下表列出了应该根据监视 Active Directory 中的入侵标志中提供的建议,在环境中监视的事件。 在下表中,"Current Windows Event ID"列列出了当前处于主流支持的 Windows 和 Windows Server 版本中实现的事件 ID。

"旧版 Windows 事件 ID"列列出了旧版 Windows 中的相应事件 ID,例如运行 Windows XP 或更早版本的客户端计算机以及运行 Windows Server 2003 或更早版本的服务器。 "潜在严重"列标识在检测攻击时是否应当将事件视为低、中或高严重,"事件摘要"列提供事件的简要说明。

"高"的潜在严重度表示应调查事件的一个匹配项。 "中"或"低"的潜在严重度意味着,只有在这些事件意外发生或显著超过测量期间的预期基线时,才应调查这些事件。 创建需要强制调查响应的警报前,所有组织都应在自己的环境中测试这些建议。 每个环境都不同,某些潜在严重级别为"高"的事件可能会由于其他无害事件而发生。

当前 Windows 事件 ID 旧版Windows事件 ID 潜在严重程度 事件摘要
4618 空值 发生了受监视的安全事件模式。
4649 空值 检测到重播攻击。 由于配置错误,可能是一种无害的误报。
4719 612 系统审核策略已更改。
4765 空值 SID 历史记录已添加到帐户。
4766 空值 尝试将 SID 历史记录添加到帐户失败。
4794 空值 尝试设置目录服务还原模式。
4897 801 已启用角色分离:
4964 空值 特殊组已分配给新登录。
5124 空值 在 OCSP 响应方服务上更新了一个安全性设置
空值 550 中到高 DoS 攻击 (拒绝) 攻击
1102 517 中到高 审核日志已清除
4621 不可用 中型 管理员从 CrashOnAuditFail 恢复系统。 现在将允许非管理员用户登录。 某个可审核活动可能未记录。
4675 不可用 中型 已筛选 SID。
4692 不可用 中型 已尝试备份数据保护主密钥。
4693 不可用 中型 已尝试恢复数据保护主密钥。
4706 610 中型 已创建对域的新信任。
4713 617 中型 Kerberos 策略已更改。
4714 618 中型 加密的数据恢复策略已更改。
4715 不可用 中型 更改了 (SACL) 的审核策略。
4716 620 中型 已修改受信任的域信息。
4724 628 中型 尝试重置帐户的密码。
4727 631 中型 已创建启用安全的全局组。
4735 639 中型 已更改启用安全的本地组。
4737 641 中型 已更改安全的全局组。
4739 643 中型 域策略已更改。
4754 658 中型 已创建启用安全的通用组。
4755 659 中型 已对启用安全的通用组进行了更改。
4764 667 中型 已删除安全禁用的组
4764 668 中型 组的类型已更改。
4780 684 中型 ACL 是针对作为 administrators 组成员的帐户设置的。
4816 不可用 中型 RPC 在解密传入消息时检测到完整性冲突。
4865 不可用 中型 已添加受信任的林信息项。
4866 不可用 中型 已删除受信任的林信息项。
4867 不可用 中型 已修改受信任的林信息项。
4868 772 中型 证书管理器已拒绝挂起的证书申请。
4870 774 中型 证书服务已吊销证书。
4882 786 中型 证书服务的安全权限已更改。
4885 789 中型 证书服务的审核筛选器已更改。
4890 794 中型 证书服务的证书管理器设置已更改。
4892 796 中型 证书服务的属性已更改。
4896 800 中型 已经从证书数据库删除一个或多个行。
4906 不可用 中型 CrashOnAuditFail 值已更改。
4907 不可用 中型 对象的审核设置已更改。
4908 不可用 中型 已修改特殊组登录表。
4912 807 中型 已更改每个用户的审核策略。
4960 不可用 中型 IPsec 丢弃了一个无法进行完整性检查的入站数据包。 如果此问题仍然存在,则可能表示存在网络问题或数据包正在传输到此计算机时被修改。 验证从远程计算机发送的数据包与此计算机接收的数据包是否相同。 此错误还可能指示与其他 IPsec 实现之间的互操作性问题。
4961 不可用 中型 IPsec 已丢弃未能重播检查的入站数据包。 如果此问题仍然存在,则可能表示针对此计算机的重播攻击。
4962 不可用 中型 IPsec 已丢弃未能重播检查的入站数据包。 入站数据包的序列号太小,以确保它不是重播。
4963 不可用 中型 IPsec 丢弃了应受到保护的入站明文包。 这通常是由于远程计算机更改了其 IPsec 策略,而没有通知此计算机。 这也可能是欺骗攻击尝试。
4965 不可用 中型 IPsec 从远程计算机接收到 (SPI) 的安全参数索引不正确的数据包。 这通常是由于损坏数据包的硬件故障引起的。 如果这些错误仍然存在,请验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。 此错误还可能指示与其他 IPsec 实现之间的互操作性问题。 在这种情况下,如果连接不会妨碍,则可忽略这些事件。
4976 不可用 中型 在主模式协商期间,IPsec 接收到无效的协商数据包。 如果此问题仍然存在,则可能表示存在网络问题或试图修改或重播此协商。
4977 不可用 中型 在快速模式协商期间,IPsec 接收到无效的协商数据包。 如果此问题仍然存在,则可能表示存在网络问题或试图修改或重播此协商。
4978 不可用 中型 在扩展模式协商期间,IPsec 接收到无效的协商数据包。 如果此问题仍然存在,则可能表示存在网络问题或试图修改或重播此协商。
4983 不可用 中型 IPsec 扩展模式协商失败。 已删除相应的主模式安全关联。
4984 不可用 中型 IPsec 扩展模式协商失败。 已删除相应的主模式安全关联。
5027 不可用 中型 Windows 防火墙服务无法从本地存储中检索安全策略。 该服务将继续强制实施当前策略。
5028 不可用 中型 Windows 防火墙服务无法分析新的安全策略。 该服务将继续强制实施当前策略。
5029 不可用 中型 Windows 防火墙服务初始化驱动程序失败。 该服务将继续强制实施当前策略。
5030 不可用 中型 Windows 防火墙服务无法启动。
5035 不可用 中型 Windows 防火墙驱动程序启动失败。
5037 不可用 中型 Windows 防火墙驱动程序检测到关键运行时错误。 正在终止。
5038 不可用 中型 代码完整性确定文件的图像哈希无效。 文件可能由于未经授权的修改而损坏,或者无效的哈希值可能表示潜在的磁盘设备错误。
5120 不可用 中型 OCSP 响应程序服务已启动
5121 不可用 中型 OCSP 响应程序服务已停止
5122 不可用 中型 OCSP 响应程序服务中更改的配置项
5123 不可用 中型 OCSP 响应程序服务中更改的配置项
5376 不可用 中型 已备份凭据管理器凭据。
5377 不可用 中型 已从备份还原凭据管理器凭据。
5453 不可用 中型 与远程计算机的 IPsec 协商失败,因为 IKE 和 AuthIP IPsec 密钥模块 (IKEEXT) 服务未启动。
5480 不可用 中型 IPsec 服务无法获取计算机上的网络接口的完整列表。 这会带来潜在的安全风险,因为某些网络接口可能无法获得应用的 IPsec 筛选器提供的保护。 使用 "IP 安全监视器" 管理单元来诊断问题。
5483 不可用 中型 IPsec 服务无法初始化 RPC 服务器。 IPsec 服务无法启动。
5484 不可用 中型 IPsec 服务遇到了严重故障,已经关闭。 关闭 IPsec 服务可以使计算机面临网络攻击的更大风险,或使计算机面临潜在的安全风险。
5485 不可用 中型 IPsec 服务无法对网络接口的即插即用事件处理某些 IPsec 筛选器。 这会带来潜在的安全风险,因为某些网络接口可能无法获得应用的 IPsec 筛选器提供的保护。 使用 "IP 安全监视器" 管理单元来诊断问题。
6145 不可用 中型 在组策略对象中处理安全策略时出现一个或多个错误。
6273 不可用 中型 网络策略服务器拒绝了对用户的访问。
6274 不可用 中型 网络策略服务器放弃了对用户的请求。
6275 不可用 中型 网络策略服务器已丢弃用户的记帐请求。
6276 不可用 中型 网络策略服务器隔离了某个用户。
6277 不可用 中型 网络策略服务器授予了对某个用户的访问权限,但由于该主机不满足定义的运行状况策略,因此已将其设置为试用。
6278 不可用 中型 网络策略服务器向用户授予了完全访问权限,因为该主机符合定义的运行状况策略。
6279 不可用 中型 由于重复失败的身份验证尝试失败,网络策略服务器锁定了用户帐户。
6280 不可用 中型 网络策略服务器解锁了用户帐户。
- 640 中型 常规帐户数据库已更改
- 619 中型 服务质量策略已更改
24586 不可用 中型 转换卷时出错
24592 不可用 中型 尝试自动重新启动卷 %2 上的转换失败。
24593 不可用 中型 元数据写入:卷 %2 在尝试修改元数据时返回错误。 如果失败继续,请解密卷
24594 不可用 中型 元数据重新生成:试图写入卷 %2 上的元数据副本失败,可能显示为磁盘损坏。 如果失败,请解密卷。
4608 512 Windows 正在启动。
4609 513 Windows 正在关闭。
4610 514 本地安全机构已加载身份验证包。
4611 515 已向本地安全机构注册了受信任的登录过程。
4612 516 为审核消息队列分配的内部资源已耗尽,导致某些审核丢失。
4614 518 安全帐户管理器已加载通知包。
4615 519 LPC 端口的使用无效。
4616 520 系统时间已更改。
4622 空值 安全包已由本地安全机构加载。
4624 528540 帐户已成功登录。
4625 529-537539 帐户登录失败。
4634 538 帐户已注销。
4646 空值 IKE DoS-阻止模式已启动。
4647 551 用户启动的注销。
4648 552 尝试使用显式凭据进行登录。
4650 空值 已建立 IPsec 主模式安全关联。 未启用扩展模式。 未使用证书身份验证。
4651 空值 已建立 IPsec 主模式安全关联。 未启用扩展模式。 使用证书进行身份验证。
4652 空值 IPsec 主模式协商失败。
4653 空值 IPsec 主模式协商失败。
4654 空值 IPsec 快速模式协商失败。
4655 空值 IPsec 主模式安全关联已结束。
4656 560 请求了对象的句柄。
4657 567 注册表值被修改。
4658 562 对象的句柄已关闭。
4659 空值 已请求使用意向删除对象的句柄。
4660 564 已删除对象。
4661 565 请求了对象的句柄。
4662 566 已对对象执行操作。
4663 567 尝试访问某个对象。
4664 空值 尝试创建硬链接。
4665 空值 尝试创建应用程序客户端上下文。
4666 空值 应用程序尝试了操作:
4667 空值 已删除应用程序客户端上下文。
4668 空值 应用程序已初始化。
4670 空值 更改了对对象的权限。
4671 空值 应用程序试图通过 TBS 访问阻止的序号。
4672 576 分配给新登录名的特殊权限。
4673 577 调用了特权服务。
4674 578 尝试对特权对象执行操作。
4688 592 已创建一个新进程。
4689 593 进程已退出。
4690 594 尝试复制对象的句柄。
4691 595 请求间接访问对象。
4694 空值 尝试保护受审核的受保护数据。
4695 空值 已尝试有人受审核的受保护数据。
4696 600 已将主令牌分配给 process。
4697 601 尝试安装服务
4698 602 已创建计划任务。
4699 602 已删除计划的任务。
4700 602 已启用计划任务。
4701 602 已禁用计划任务。
4702 602 已更新计划任务。
4704 608 已分配用户权限。
4705 609 删除了用户权限。
4707 611 删除了对域的信任。
4709 空值 IPsec 服务已启动。
4710 空值 IPsec 服务已禁用。
4711 空值 可以包含以下任一项:在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本的 PAStore 引擎。 PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略。 PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略。 PAStore 引擎无法在计算机上应用本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用活动 IPsec 策略的一些规则。 PAStore 引擎无法在计算机上加载目录存储 IPsec 策略。 PAStore 引擎在计算机上加载了目录存储 IPsec 策略。 PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。 PAStore 引擎在计算机上加载了本地存储 IPsec 策略。PAStore 引擎轮询活动 IPsec 策略的更改,未检测到任何更改。
4712 空值 IPsec 服务遇到潜在的严重故障。
4717 621 系统安全访问权限已授予帐户。
4718 622 已从帐户中删除系统安全访问。
4720 624 已创建用户帐户。
4722 626 已启用用户帐户。
4723 627 尝试更改帐户的密码。
4725 629 用户帐户已禁用。
4726 630 用户帐户已删除。
4728 632 成员已添加到已启用安全性的全局组。
4729 633 已从已启用安全性的全局组中删除成员。
4730 634 已删除已启用安全性的全局组。
4731 635 已创建启用了安全性的本地组。
4732 636 成员已添加到启用了安全性的本地组。
4733 637 已从启用了安全性的本地组中删除成员。
4734 638 已删除已启用安全性的本地组。
4738 642 用户帐户已更改。
4740 644 用户帐户被锁定。
4741 645 计算机帐户已更改。
4742 646 计算机帐户已更改。
4743 647 删除了计算机帐户。
4744 648 已创建已禁用安全的本地组。
4745 649 安全禁用的本地组已更改。
4746 650 成员已添加到已禁用安全的本地组。
4747 651 已从已禁用安全的本地组中删除成员。
4748 652 已删除安全禁用的本地组。
4749 653 已创建安全禁用的全局组。
4750 654 安全禁用的全局组已更改。
4751 655 成员已添加到已禁用安全性的全局组。
4752 656 已从安全禁用的全局组中删除成员。
4753 657 已删除安全禁用的全局组。
4756 660 成员已添加到已启用安全性的通用组。
4757 661 已从已启用安全性的通用组中删除成员。
4758 662 已删除已启用安全性的通用组。
4759 663 已创建安全禁用的通用组。
4760 664 安全禁用的通用组已更改。
4761 665 成员已添加到安全禁用的通用组。
4762 666 已从安全禁用的通用组中删除成员。
4767 671 用户帐户已解锁。
4768 672,676 请求了 TGT (Kerberos) 票证。
4769 673 请求了 Kerberos 服务票证。
4770 674 Kerberos 服务票证已续订。
4771 675 Kerberos 预身份验证失败。
4772 672 Kerberos 身份验证票证请求失败。
4774 678 已映射帐户以登录。
4775 679 无法映射帐户进行登录。
4776 680,681 域控制器尝试验证帐户的凭据。
4777 空值 域控制器无法验证帐户的凭据。
4778 682 会话已重新连接到窗口工作站。
4779 683 会话已断开与窗口工作站的连接。
4781 685 帐户的名称已更改:
4782 空值 已访问帐户的密码哈希。
4783 667 已创建一个基本的应用程序组。
4784 空值 基本应用程序组已更改。
4785 689 成员已添加到基本应用程序组。
4786 690 已从基本应用程序组中删除成员。
4787 691 向基本应用程序组添加了一个非成员。
4788 692 已从基本应用程序组中删除非成员。
4789 693 基本应用程序组已删除。
4790 694 已创建 LDAP 查询组。
4793 空值 调用了密码策略检查 API。
4800 空值 工作站已锁定。
4801 空值 工作站已解锁。
4802 空值 调用了屏幕保护程序。
4803 空值 屏幕保护程序已消除。
4864 空值 检测到命名空间冲突。
4869 773 证书服务收到重新提交的证书申请。
4871 775 证书服务收到发布证书吊销列表 (CRL) 的申请。
4872 776 证书服务已发布证书吊销列表 (CRL)。
4873 777 证书申请扩展已更改。
4874 778 一个或多个证书申请属性已更改。
4875 779 证书服务收到执行关闭操作的申请。
4876 780 证书服务备份已启动。
4877 781 证书服务备份已完成。
4878 782 证书服务还原已启动。
4879 783 证书服务还原已完成。
4880 784 证书服务已启动。
4881 785 证书服务已停止。
4883 787 证书服务检索到存档的密钥。
4884 788 证书服务已将证书导入到其数据库中。
4886 790 证书服务收到证书申请。
4887 791 证书服务已批准证书申请并颁发证书。
4888 792 证书服务已拒绝证书申请。
4889 793 证书服务将证书申请的状态设置为挂起。
4891 795 证书服务中的配置项已更改。
4893 797 证书服务已存档密钥。
4894 798 证书服务已导入并存档密钥。
4895 799 证书服务将 CA 证书发布到 Active Directory 域 服务。
4898 802 证书服务已加载模板。
4902 空值 已创建"每用户审核策略"表。
4904 空值 尝试注册安全事件源。
4905 空值 尝试注销安全事件源。
4909 空值 TBS 的本地策略设置已更改。
4910 空值 TBS 的组策略设置已更改。
4928 空值 已建立 Active Directory 副本源命名上下文。
4929 空值 删除了 Active Directory 副本源命名上下文。
4930 空值 修改了 Active Directory 副本源命名上下文。
4931 空值 修改了 Active Directory 副本目标命名上下文。
4932 空值 Active Directory 命名上下文的副本同步已开始。
4933 空值 Active Directory 命名上下文的副本同步已结束。
4934 空值 复制了 Active Directory 对象的属性。
4935 空值 复制失败开始。
4936 空值 复制失败结束。
4937 空值 从副本中删除了一个延迟对象。
4944 空值 启动防火墙时,以下Windows处于活动状态。
4945 空值 启动防火墙时,Windows规则。
4946 空值 对防火墙例外列表Windows进行了更改。 已添加规则。
4947 空值 对防火墙例外列表Windows进行了更改。 已修改规则。
4948 空值 对防火墙例外列表Windows进行了更改。 已删除规则。
4949 空值 Windows防火墙设置已还原为默认值。
4950 空值 "Windows防火墙"设置已更改。
4951 空值 已忽略规则,因为防火墙无法识别其主Windows版本号。
4952 空值 已忽略规则的某些部分,因为防火墙无法识别其Windows版本号。 将强制实施规则的其他部分。
4953 空值 防火墙已忽略规则Windows,因为它无法分析规则。
4954 空值 Windows防火墙组策略设置已更改。 已应用新设置。
4956 空值 Windows防火墙已更改活动配置文件。
4957 空值 Windows防火墙未应用以下规则:
4958 空值 Windows防火墙未应用以下规则,因为此计算机上未配置的项目所引用的规则:
4979 空值 已建立 IPsec 主模式和扩展模式安全关联。
4980 空值 已建立 IPsec 主模式和扩展模式安全关联。
4981 空值 已建立 IPsec 主模式和扩展模式安全关联。
4982 空值 已建立 IPsec 主模式和扩展模式安全关联。
4985 空值 事务的状态已更改。
5024 空值 Windows 防火墙服务已成功启动。
5025 空值 Windows 防火墙服务已停止。
5031 空值 Windows 防火墙服务阻止应用程序接受网络上的传入连接。
5032 空值 Windows防火墙无法通知用户,阻止应用程序接受网络上的传入连接。
5033 空值 Windows 防火墙驱动程序已成功启动。
5034 空值 Windows 防火墙驱动程序已停止。
5039 空值 注册表项已虚拟化。
5040 空值 已对 IPsec 设置进行了更改。 添加了身份验证集。
5041 空值 已对 IPsec 设置进行了更改。 已修改身份验证集。
5042 空值 已对 IPsec 设置进行了更改。 已删除身份验证集。
5043 空值 已对 IPsec 设置进行了更改。 添加了连接安全规则。
5044 空值 已对 IPsec 设置进行了更改。 已修改连接安全规则。
5045 空值 已对 IPsec 设置进行了更改。 已删除连接安全规则。
5046 空值 已对 IPsec 设置进行了更改。 已添加加密集。
5047 空值 对 IPsec 设置进行了更改。 修改了加密集。
5048 空值 对 IPsec 设置进行了更改。 加密集已删除。
5050 空值 尝试使用 Windows对 InetFwProfile.FirewallEnabled (False 调用以编程方式禁用)
5051 空值 文件已虚拟化。
5056 空值 已执行加密自测试。
5057 空值 加密基元操作失败。
5058 空值 密钥文件操作。
5059 空值 密钥迁移操作。
5060 空值 验证操作失败。
5061 空值 加密操作。
5062 空值 执行了内核模式加密自测试。
5063 空值 尝试了加密提供程序操作。
5064 空值 尝试了加密上下文操作。
5065 空值 尝试了加密上下文修改。
5066 空值 尝试了加密函数操作。
5067 空值 尝试修改加密函数。
5068 空值 已尝试加密函数提供程序操作。
5069 空值 尝试了加密函数属性操作。
5070 空值 尝试修改加密函数属性。
5125 空值 请求已提交到 OCSP 响应方服务
5126 空值 签名证书已由 OCSP 响应方服务自动更新
5127 空值 OCSP 吊销提供程序已成功更新吊销信息
5136 566 已修改目录服务对象。
5137 566 已创建目录服务对象。
5138 空值 未取消引用目录服务对象。
5139 空值 已移动目录服务对象。
5140 空值 已访问网络共享对象。
5141 空值 已删除目录服务对象。
5152 空值 Windows筛选平台阻止了数据包。
5153 空值 限制性更强Windows筛选平台筛选器阻止了数据包。
5154 空值 Windows筛选平台允许应用程序或服务侦听端口以接收传入连接。
5155 空值 筛选Windows平台已阻止应用程序或服务侦听端口上的传入连接。
5156 空值 Windows筛选平台已允许连接。
5157 空值 Windows筛选平台已阻止连接。
5158 空值 Windows筛选平台允许绑定到本地端口。
5159 空值 筛选Windows平台已阻止绑定到本地端口。
5378 空值 策略不允许请求的凭据委派。
5440 空值 启动筛选平台基础筛选引擎时Windows标注。
5441 空值 启动筛选平台基础筛选引擎Windows存在以下筛选器。
5442 空值 启动筛选平台基础筛选引擎Windows存在以下提供程序。
5443 空值 启动筛选平台基础筛选引擎时Windows提供程序上下文。
5444 空值 启动筛选平台基础筛选引擎Windows存在以下子层。
5446 空值 Windows筛选平台标注已更改。
5447 空值 已Windows筛选平台筛选器。
5448 空值 已Windows筛选平台提供程序。
5449 空值 筛选Windows提供程序上下文已更改。
5450 空值 已Windows筛选平台子层。
5451 空值 已建立 IPsec 快速模式安全关联。
5452 空值 IPsec 快速模式安全关联已结束。
5456 空值 PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略。
5457 空值 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略。
5458 空值 PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本。
5459 空值 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。
5460 空值 PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。
5461 空值 PAStore 引擎无法在计算机上应用本地注册表存储 IPsec 策略。
5462 空值 PAStore 引擎无法在计算机上应用活动 IPsec 策略的一些规则。 使用 IP 安全监视器管理单元诊断问题。
5463 空值 PAStore 引擎轮询活动 IPsec 策略的更改,未检测到任何更改。
5464 空值 PAStore 引擎轮询活动 IPsec 策略的更改,检测到更改,并应用于 IPsec 服务。
5465 空值 PAStore 引擎收到了强制重新加载 IPsec 策略的控件,并成功处理了该控件。
5466 空值 PAStore 引擎轮询 Active Directory IPsec 策略的更改,确定无法访问 Active Directory,并改为使用 Active Directory IPsec 策略的缓存副本。 自上次轮询以来对 Active Directory IPsec 策略进行的任何更改都无法应用。
5467 空值 对 Active Directory IPsec 策略的更改进行轮询的 PAStore 引擎,确定可以访问 Active Directory,并且找不到对策略的更改。 不再使用 Active Directory IPsec 策略的缓存副本。
5468 空值 对 Active Directory IPsec 策略的更改进行轮询的 PAStore 引擎,确定可以访问 Active Directory,找到策略的更改,并应用这些更改。 不再使用 Active Directory IPsec 策略的缓存副本。
5471 空值 PAStore 引擎在计算机上加载了本地存储 IPsec 策略。
5472 空值 PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。
5473 空值 PAStore 引擎在计算机上加载了目录存储 IPsec 策略。
5474 空值 PAStore 引擎无法在计算机上加载目录存储 IPsec 策略。
5477 空值 PAStore 引擎无法添加快速模式筛选器。
5479 空值 IPsec 服务已成功关闭。 关闭 IPsec 服务可能会使计算机面临更大的网络攻击风险,或使计算机面临潜在的安全风险。
5632 空值 已请求向无线网络进行身份验证。
5633 空值 已请求对有线网络进行身份验证。
5712 空值 尝试通过 RPC (远程) 调用。
5888 空值 修改了 COM+ 目录中的对象。
5889 空值 从 COM+ 目录中删除了对象。
5890 空值 已将对象添加到 COM + 目录中。
6008 空值 之前的系统关闭意外
6144 空值 组策略对象中的安全策略已成功应用。
6272 空值 为用户授予了访问权限的网络策略服务器。
空值 561 请求了对象的句柄。
空值 563 对象打开以进行删除
空值 625 用户帐户类型已更改
空值 613 IPsec 策略代理已启动
空值 614 IPsec 策略代理已禁用
空值 615 IPsec 策略代理
空值 616 IPsec 策略代理遇到潜在的严重故障
24577 空值 卷加密已启动
24578 空值 卷加密已停止
24579 空值 已完成卷加密
24580 空值 已启动卷解密
24581 空值 已停止解密卷
24582 空值 已完成解密卷
24583 空值 卷的转换工作线程已启动
24584 空值 卷的转换工作线程暂时停止
24588 空值 卷 %2 上的转换操作遇到错误扇区错误。 请验证此卷上的数据
24595 空值 卷 %2 包含错误群集。 在转换过程中将跳过这些群集。
24621 空值 初始状态检查:滚动 %2 上的卷转换事务。
5049 空值 已删除 IPsec 安全关联。
5478 空值 IPsec 服务已成功启动。

注意

有关许多安全事件 id 及其含义的列表,请参阅Windows 安全审核事件

运行wevtutil gp Windows-Security-审核/ge/gm: true以获取所有安全事件 id 的详细列表

有关 Windows 安全事件 id 及其含义的详细信息,请参阅Windows 7 和 Windows Server 2008 R2 中的安全事件的 Microsoft 支持部门文章描述。 你还可以下载Windows 7 和 Windows Server 2008 R2 的安全审核事件,并Windows 8 和 Windows Server 2012 安全事件详细信息,这些事件以电子表格格式提供所引用操作系统的详细事件信息。