帳號登錄事件
(事件編號與描述)
672 身份驗證服務(AS)票證得到成功發行與驗證。
673 票證授權服務(TGS)票證得到授權。TGS是一份由Kerberos 5.0版票證授權服務(TGS)發行、且允許用戶針對域中特定服務進行身份驗證的票證。
674 安全主體重建AS票證或TGS票證。
675 預身份驗證失敗。這種事件將在用戶輸入錯誤密碼時由密鑰分發中心(KDC)生成。
676 身份驗證票證請求失敗。這種事件在Windows XP Professional操作系統或Windows Server產品家族成員中將不會產生。
677 TGS票證無法得到授權。這種事件在Windows XP Professional操作系統或Windows Server產品家族成員中將不會產生。
678 指定帳號成功映射到一個域帳號。
681 登錄失敗。域帳號嘗試進行登錄。這種事件在Windows XP Professional操作系統或Windows Server產品家族成員中將不會產生。
682 用戶重新連接到一個已經斷開連接的終端服務器會話上。
683 用戶在沒有注銷的情況下與終端服務器會話斷開連接。
帳號管理事件
624 一個用戶帳號被創建。
627 一個用戶密碼被修改。
628 一個用戶密碼被設置。
630 一個用戶密碼被刪除。
631 一個全局組被創建。
632 一個成員被添加到特定全局組中。
633 一個成員從特定全局組中被刪除。
634 一個全局組被刪除。
635 一個新的本地組被創建。
636 一個成員被添加到本地組中。
637 一個成員從本地組中被刪除。
638 一個本地組被刪除。
639 一個本地組帳號被修改。
641 一個全局組帳號被修改。
642 一個用戶帳號被修改。
643 一個域策略被修改。
644 一個用戶帳號被自動鎖定。
645 一個計算機帳號被創建。
646 一個計算機帳號被修改。
647 一個計算機帳號被刪除。
648 一個禁用安全特性的本地安全組被創建。說明:正式名稱中的SECURITY_DISABLED意味著這個組無法用於在訪問檢查中授予權限。
649 一個禁用安全特性的本地安全組被修改。
650 一個成員被添加到一個禁用安全特性的本地安全組中。
651 一個成員從一個禁用安全特性的本地安全組中被刪除。
652 一個禁用安全特性的本地組被刪除。
653 一個禁用安全特性的全局組被創建。
654 一個禁用安全特性的全局組被修改。
655 一個成員被添加到一個禁用安全特性的全局組中。
656 一個成員從一個禁用安全特性的全局組中被刪除。
657 一個禁用安全特性的全局組被刪除。
658 一個啟用安全特性的通用組被創建。
659 一個啟用安全特性的通用組被修改。
660 一個成員被添加到一個啟用安全特性的通用組中。
661 一個成員從一個啟用安全特性的通用組中被刪除。
662 一個啟用安全特性的通用組被刪除。
663 一個禁用安全特性的通用組被創建。
664 一個禁用安全特性的通用組被修改。
665 一個成員被添加到一個禁用安全特性的通用組中。
666 一個成員從一個禁用安全特性的通用組中被刪除。
667 一個禁用安全特性的通用組被刪除。
668 一個組類型被修改。
684 管理組成員的安全描述符被設置。說明:在域控制器上,一個後台線程每60秒將對管理組中的所有成員(如域管理員、企業管理員和架構管理員)進行一次搜索並對其應用一個經過修復的安全描述符。這種事件將被記錄下來。
685 一個帳號名稱被修改。
審核登錄事件
528 用戶成功登錄到計算機上。
529 登錄失敗:試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登錄。
530 登錄失敗:試圖在允許時間范圍以外進行登錄。
531 登錄失敗:試圖通過禁用帳號進行登錄。
532 登錄失敗:試圖通過過期帳號進行登錄。
533 登錄失敗:試圖通過不允許在特定計算機上進行登錄的用戶帳號進行登錄。
534 登錄失敗:用戶試圖通過不允許使用的密碼類型進行登錄。
535 登錄失敗:針對指定帳號的密碼已經過期。
536 登錄失敗:網絡登錄服務未被激活。
537 登錄失敗:由於其它原因導致登錄失敗。說明:在某些情況下,登錄失敗原因可能無法確定。
538 針對某一用戶的注銷操作完成。
539 登錄失敗:登錄帳號在登錄時刻已被鎖定。
540 用戶成功登錄到網絡。
541 本地計算機與所列對等客戶身份標識之間的主模式Internet密鑰交換(IKE)身份驗證操作已經完成(建立一條安全關聯),或者快速模式已經建立一條數據通道。
542 數據通道被中斷。
543 主模式被中斷。說明:這種事件可能在安全關聯時間限制到期(缺省值為8小時)、策略修改或對等客戶中斷時發生。
544 由於對等客戶未能提供合法證書或簽署未通過驗證導致主模式身份驗證失敗。
545 由於Kerberos失敗或密碼不合法導致主模式身份驗證失敗。
546 由於對等客戶發送非法了非法提議,IKE 安全關聯建立沒有成功。收到一個包含非法數據的數據包。
547 IKE握手過程中發生錯誤。
548 登錄失敗:來自信任域的安全標識符(SID)與客戶端的帳號域SID不匹配。
549 登錄失敗:在跨域身份驗證過程中,所有同非信任名稱空間相對應的SID均已被過濾掉。
550 能夠指示可能發生拒絕服務(DOS)攻擊的通知消息。
551 用戶發起注銷操作。
552 用戶在已經通過其他身份登錄的情況下使用明確憑據成功登錄到計算機上。
682 用戶重新連接到一個已經斷開連接的終端服務器會話上。
683 用戶在沒有注銷的情況下與終端服務器會話斷開連接。說明:這種事件將在用戶通過網絡與終端服務器會話建立連接時產生。它將出現在終端服務器上。
對象訪問事件
560 訪問由一個已經存在的對象提供授權。
562 一個對象訪問句柄被關閉。
563 試圖打開並刪除一個對象。說明:當您在Createfile()函數中指定FILE_DELETE_ON_CLOSE標志時,這種事件將被文件系統所使用。
564 一個保護對象被刪除。
565 訪問由一種已經存在的對象類型提供授權。
567 一種與句柄相關聯的權限被使用。說明:一個授予特定權限(讀取、寫入等)的句柄被創建。當使用這個句柄時,至多針對所用到的每種權限產生一次審核。
568 試圖針對正在進行審核的文件創建硬連接。
569 身份驗證管理器中的資源管理器試圖創建客戶端上下文。
570 客戶端試圖訪問一個對象。說明:針對對象的每次操作嘗試都將產生一個事件。
571 客戶端上下文被身份驗證管理器應用程序刪除。
572 管理員管理器初始化應用程序。
772 證書管理器拒絕了掛起的證書申請。
773 證書服務收到重新提交的證書申請。
774 證書服務吊銷了證書。
775 證書服務收到發行證書吊銷列表(CRL) 的請求。
776 證書服務發行了證書吊銷列表(CRL)。
777 更改了證書申請擴展。
778 更改了多個證書申請屬性。
779 證書服務收到關機請求。
780 已開始證書服務備份。
781 已完成證書服務備份。
782 已開始證書服務還原。
783 已完成證書服務還原。
784 證書服務已經開始。
785 證書服務已經停止。
786 證書服務更改的安全權限。
787 證書服務檢索了存檔密鑰。
說明:這種審核操作通常成對出現。
--