-
类别:
帐户登录
子类别:
凭据验证
ID
消息
4774
帐户已进行的登录映射。
4775
不能进行的登录映射的帐户。
4776
计算机试图验证帐户凭据。
4777
域控制器无法验证帐户凭据。
子类别:
Kerberos
验证服务
ID
消息
4768
Kerberos
身份验证票证
(TGT)
请求。
4771
Kerberos
预身份验证失败。
4772
Kerberos
身份验证票证请求失败。
子类别:
Kerberos
服务票证操作
ID
消息
4769
请求服务的
Kerberos
票证。
4770
Kerberos
服务票证的续订。
4773
Kerberos
服务票证请求失败。
类别:
帐户管理
子类别:
应用程序组管理
ID
消息
4783
创建一个基本的应用程序组。
4784
一个基本的应用程序组已被更改。
4785
已将成员添加到基本应用程序组。
4786
从基本的应用程序组已删除成员。
4787
非成员已添加到基本应用程序组。
4788
从基本的应用程序组中删除非成员。
4789
一个基本的应用程序组已被删除。
4790
创建
LDAP
查询组。
4791
一个基本的应用程序组已被更改。
4792
LDAP
查询组已被删除。
子类别:
计算机帐户管理
ID
消息
4741
创建计算机帐户。
4742
计算机帐户已被更改。
4743
计算机帐户已被删除。
子类别:
分发组管理
ID
消息
4744
已创建禁用安全的本地组。
4745
禁用安全的本地组已被更改。
4746
已将成员添加到禁用安全的本地组。
4747
已从禁用安全的本地组删除成员。
4748
已删除禁用安全的本地组。
4749
已创建禁用安全的全局组。
4750
禁用安全的全局组已被更改。
4751
已将成员添加到禁用安全的全局组。
4752
已从禁用安全的全局组删除成员。
4753
已删除禁用安全的全局组。
4759
已创建禁用安全的通用组。
4760
禁用安全的通用组已被更改。
4761
已将成员添加到禁用安全的通用组。
4762
已从禁用安全的通用组删除成员。
子类别:
其他帐户管理事件
ID
消息
4782
访问密码哈希的帐户。
4793
调用了密码策略检查
API
。
子类别:
安全组管理
ID
消息
4727
创建启用安全的全局组。
4728
已将成员添加到启用安全的全局组。
4729
已从启用安全的全局组删除成员。
4730
启用安全的全局组已被删除。
4731
创建启用安全的本地组。
4732
已将成员添加到启用安全的本地组。
4733
已从启用安全的本地组删除成员。
4734
启用安全的本地组已被删除。
4735
启用安全的本地组已被更改。
4737
启用安全的全局组已被更改。
4754
创建启用安全的通用组。
4755
启用安全的通用组已被更改。
4756
已将成员添加到启用安全的通用组。
4757
已从启用安全的通用组删除成员。
4758
启用安全的通用组已被删除。
4764
一组的类型已更改。
子类别:
用户帐户管理
ID
消息
4720
创建用户帐户。
4722
已启用用户帐户。
4723
尝试更改帐户的密码。
4724
尝试重置帐户的密码。
4725
一个用户帐户被禁用。
4726
用户帐户已被删除。
4738
用户帐户已被更改。
4740
用户帐户已被锁定。
4765
SID
历史记录已添加到帐户。
4766
要添加到帐户的
SID
历史记录的尝试失败。
4767
用户帐户被解除锁定。
4780
它们是管理员组的成员帐户上设置
ACL
。
4781
已更改的帐户名称
:
4794
尝试设置目录服务还原模式。
5376
凭据管理器凭据已备份。
5377
凭据管理器凭据已从备份中还原。
类别:
详细的跟踪
子类别:
DPAPI
活动
ID
消息
4692
试图进行备份的数据保护主密钥。
4693
试图恢复的数据保护主密钥。
4694
试图进行可审核的受保护数据的保护。
4695
试图进行可审核的受保护数据的
unprotection
。
子类别:
进程创建
ID
消息
4688
已创建一个新的进程。
4696
一个主令牌分配给处理。
子类别:
进程终止
ID
消息
4689
一个进程已退出。
子类别:
RPC
事件
ID
消息
5712
试图执行一个远程过程调用
(RPC)
。
类别:
DS
访问
子类别:
详细的目录服务复制
ID
消息
4928
已建立的
Active
Directory
复制副本源的命名上下文。
4929
删除一个
Active Directory
复制副本源的命名上下文。
4930
已修改的
Active
Directory
复制副本源的命名上下文。
4931
已修改的
Active Directory
复制副本目标命名上下文。
4934
Active Directory
对象的属性被复制。
4935
开始复制失败。
4936
结束复制失败。
4937
已从副本中删除延迟对象。
子类别:
目录服务访问
ID
消息
4662
在对象上执行的操作。
子类别:
目录服务变更
ID
消息
5136
目录服务对象已被修改。
5137
创建目录服务对象。
5138
目录服务对象时未删除。
5139
目录服务对象已移动。
5141
目录服务对象已被删除。
子类别:
目录服务复制
ID
消息
4932
Active Directory
命名上下文的副本的同步已开始。
4933
Active Directory
命名上下文的副本的同步已结束。
类别:
登录
/
注销
子类别:
IPsec
扩展模式
ID
消息
4978
在扩展的模式协商期间
IPsec
收到无效的协商数据包。
如果此问题仍然存在,
它可能
表示网络问题或试图修改或重播此
协商的。
4979
建立
IPsec
主模式和扩展的模式安全关联。
4980
建立
IPsec
主模式和扩展的模式安全关联。
4981
建立
IPsec
主模式和扩展的模式安全关联。
4982
建立
IPsec
主模式和扩展的模式安全关联。
4983
一个
IPsec
扩展模式协商失败。相应的主模式安全关联已被删除。
4984
一个
IPsec
扩展模式协商失败。相应的主模式安全关联已被删除。
子类别:
IPsec
主模式
ID
消息
4646
IKE DoS
预防启动模式。
4650
已建立的
IPsec
主模式安全关联。扩展模式下未启用。
不使用证书身份验证。
4651
已建立的
IPsec
主模式安全关联。扩展模式下未启用。
证书用于身份验证。
4652
一个
IPsec
主模式协商失败。
4653
一个
IPsec
主模式协商失败。
4655
IPsec
主模式安全关联结束。
4976
在主模式协商期间
IPsec
收到无效的协商数据包。
如果此问题仍然存在,
它可能表示
网络问题或试图修改或重播此
协商的。
5049
IPsec
安全关联已被删除。
5453
IPsec
策略代理计算机上应用
Active Directory
存储
IPsec
策略。
子类别:
IPsec
快速模式
ID
消息
4654
一个
IPsec
快速模式协商失败。
4977
在快速模式协商期间
IPsec <
/p>
收到无效的协商数据包。
如果此问题仍然存在,
< br>它可能表
示网络问题或试图修改或重播此协商的。
5451
已建立的
IPsec
快速模式安全关联。
5452
IPsec
快速模式安全关联结束。
子类别:
注销
ID
消息
4634
帐户被注销。
4647
用户启动注销过程。
子类别:
登录
ID
消息
4624
已成功登录的帐户。
4625
帐户登录失败。
4648
使用显式凭据尝试登录。
4675
sid
已被筛选。
子类别:
网络策略服务器
ID
消息
6272
网络策略服务器向用户授予访问权限。
6273
网络策略服务器对用户拒绝访问。
6274
网络策略服务器放弃用户的请求。
6275
网络策略服务器放弃用户的记帐请求。
6276
网络策略服务器隔离的用户。
6277
网络策略服务器向用户授予访问权限,
但将其放在试用期,
因为主机不符合已定义的
运行状
况策略。
6278
因为主机符合已
定义的运行状况策略,网络策略服务器向用户授予完全访问权限。
6279
网络策略服务器锁定用户帐户由于重复身份验证失败的尝试。
6280
网络策略服务器解除锁定用户帐户。
子类别:
其他登录
< br>/
注销事件
ID
消息
4649
检测到重播攻击。
4778
会话已重新连接到一个窗口站。
4779
从窗口站断开的会话。
4800
工作站已锁定。
4801
工作站已解锁。
4802
屏幕保护程序被调用。
4803
屏幕保护程序被取消。
5378
所请求的凭据委派是不允许的策略。
5632
对无线网络进行身份验证进行了一个请求。
5633
对有线网络进行身份验证进行了一个请求。
子类别:
特殊登录
ID
消息
4964
特殊组已分配到一个新的登录。
对象访问类别:
生成的子类别:
应用程序
ID
消息
4665
尝试创建一个应用程序客户端上下文。
4666
应用程序试图执行的操作:
4667
应用程序客户端上下文已被删除。
4668
应用程序已初始化。
子类别:
证书服务
ID
消息
4868
证书管理器拒绝了挂起的证书请求。
4869
证书服务收到重新提交的证书申请。
4870
证书服务吊销的证书。
4871
证书服务收到发布证书吊销列表
(CRL)
的请求。
4872
证书服务发布证书吊销列表
(CRL)
。
4873
证书申请扩展已更改。
4874
一个或多个证书申请属性已更改。
4875
证书服务收到关机请求。
4876
证书服务备份已启动。
4877
证书服务备份已完成。
4878
证书服务还原已启动。
4879
证书服务还原已完成。
4880
证书服务已启动。
4881
证书服务已停止。
4882
证书服务的安全权限更改。
4883
证书服务检索到一个存档的密钥。
4884
证书服务已将证书导入它的数据库。
4885
证书服务的该审核筛选已更改。
4886
证书服务收到证书申请。
4887
证书服务批准证书申请并颁发了证书。
4888
证书服务拒绝证书申请。
4889
证书服务将证书申请的状态设置为挂起。
4890
证书服务的证书管理器设置更改。
4891
在
$$
证书服务中更改一个配置项。
4892
证书服务的属性已更改。
4893
证书服务存档了密钥。
4894
证书服务导入并存档了密钥。
4895
证书服务发布到
Active Directory
域服务的
CA
证书。
4896
已从证书数据库删除一个或多个行。
4897
启用角色分离:
4898
证书服务加载模板。
4899
证书服务模板进行更新。
4900
证书服务模板安全性已更新。
5120
OCSP
响应方服务已启动。
5121
OCSP
响应方服务已停止。
5122
在
$$ OCSP
响应方服务中更改一个配置条目。
5123
在
$$ OCSP
响应方服务中更改一个配置项。