Windows Server 2008 R2 中的安全事件的说明

类别：

帐户登录

子类别：

凭据验证

ID

消息

4774

帐户已进行的登录映射。

4775

不能进行的登录映射的帐户。

4776

计算机试图验证帐户凭据。

4777

域控制器无法验证帐户凭据。

子类别：

Kerberos

验证服务

ID

消息

4768

Kerberos

身份验证票证

(TGT)

请求。

4771

Kerberos

预身份验证失败。

4772

Kerberos

身份验证票证请求失败。

子类别：

Kerberos

服务票证操作

ID

消息

4769

请求服务的

Kerberos

票证。

4770

Kerberos

服务票证的续订。

4773

Kerberos

服务票证请求失败。

类别：

帐户管理

子类别：

应用程序组管理

ID

消息

4783

创建一个基本的应用程序组。

4784

一个基本的应用程序组已被更改。

4785

已将成员添加到基本应用程序组。

4786

从基本的应用程序组已删除成员。

4787

非成员已添加到基本应用程序组。

4788

从基本的应用程序组中删除非成员。

4789

一个基本的应用程序组已被删除。

4790

创建

LDAP

查询组。

4791

一个基本的应用程序组已被更改。

4792

LDAP

查询组已被删除。

子类别：

计算机帐户管理

ID

消息

4741

创建计算机帐户。

4742

计算机帐户已被更改。

4743

计算机帐户已被删除。

子类别：

分发组管理

ID

消息

4744

已创建禁用安全的本地组。

4745

禁用安全的本地组已被更改。

4746

已将成员添加到禁用安全的本地组。

4747

已从禁用安全的本地组删除成员。

4748

已删除禁用安全的本地组。

4749

已创建禁用安全的全局组。

4750

禁用安全的全局组已被更改。

4751

已将成员添加到禁用安全的全局组。

4752

已从禁用安全的全局组删除成员。

4753

已删除禁用安全的全局组。

4759

已创建禁用安全的通用组。

4760

禁用安全的通用组已被更改。

4761

已将成员添加到禁用安全的通用组。

4762

已从禁用安全的通用组删除成员。

子类别：

其他帐户管理事件

ID

消息

4782

访问密码哈希的帐户。

4793

调用了密码策略检查

API

。

子类别：

安全组管理

ID

消息

4727

创建启用安全的全局组。

4728

已将成员添加到启用安全的全局组。

4729

已从启用安全的全局组删除成员。

4730

启用安全的全局组已被删除。

4731

创建启用安全的本地组。

4732

已将成员添加到启用安全的本地组。

4733

已从启用安全的本地组删除成员。

4734

启用安全的本地组已被删除。

4735

启用安全的本地组已被更改。

4737

启用安全的全局组已被更改。

4754

创建启用安全的通用组。

4755

启用安全的通用组已被更改。

4756

已将成员添加到启用安全的通用组。

4757

已从启用安全的通用组删除成员。

4758

启用安全的通用组已被删除。

4764

一组的类型已更改。

子类别：

用户帐户管理

ID

消息

4720

创建用户帐户。

4722

已启用用户帐户。

4723

尝试更改帐户的密码。

4724

尝试重置帐户的密码。

4725

一个用户帐户被禁用。

4726

用户帐户已被删除。

4738

用户帐户已被更改。

4740

用户帐户已被锁定。

4765

SID

历史记录已添加到帐户。

4766

要添加到帐户的

SID

历史记录的尝试失败。

4767

用户帐户被解除锁定。

4780

它们是管理员组的成员帐户上设置

ACL

。

4781

已更改的帐户名称

:

4794

尝试设置目录服务还原模式。

5376

凭据管理器凭据已备份。

5377

凭据管理器凭据已从备份中还原。

类别：

详细的跟踪

子类别：

DPAPI

活动

ID

消息

4692

试图进行备份的数据保护主密钥。

4693

试图恢复的数据保护主密钥。

4694

试图进行可审核的受保护数据的保护。

4695

试图进行可审核的受保护数据的

unprotection

。

子类别：

进程创建

ID

消息

4688

已创建一个新的进程。

4696

一个主令牌分配给处理。

子类别：

进程终止

ID

消息

4689

一个进程已退出。

子类别：

RPC

事件

ID

消息

5712

试图执行一个远程过程调用

(RPC)

。

类别：

DS

访问

子类别：

详细的目录服务复制

ID

消息

4928

已建立的

Active Directory

复制副本源的命名上下文。

4929

删除一个

Active Directory

复制副本源的命名上下文。

4930

已修改的

Active Directory

复制副本源的命名上下文。

4931

已修改的

Active Directory

复制副本目标命名上下文。

4934

Active Directory

对象的属性被复制。

4935

开始复制失败。

4936

结束复制失败。

4937

已从副本中删除延迟对象。

子类别：

目录服务访问

ID

消息

4662

在对象上执行的操作。

子类别：

目录服务变更

ID

消息

5136

目录服务对象已被修改。

5137

创建目录服务对象。

5138

目录服务对象时未删除。

5139

目录服务对象已移动。

5141

目录服务对象已被删除。

子类别：

目录服务复制

ID

消息

4932

Active Directory

命名上下文的副本的同步已开始。

4933

Active Directory

命名上下文的副本的同步已结束。

类别：

登录

/

注销

子类别：

IPsec

扩展模式

ID

消息

4978

在扩展的模式协商期间

IPsec

收到无效的协商数据包。

如果此问题仍然存在，

它可能

表示网络问题或试图修改或重播此 协商的。

4979

建立

IPsec

主模式和扩展的模式安全关联。

4980

建立

IPsec

主模式和扩展的模式安全关联。

4981

建立

IPsec

主模式和扩展的模式安全关联。

4982

建立

IPsec

主模式和扩展的模式安全关联。

4983

一个

IPsec

扩展模式协商失败。相应的主模式安全关联已被删除。

4984

一个

IPsec

扩展模式协商失败。相应的主模式安全关联已被删除。

子类别：

IPsec

主模式

ID

消息

4646

IKE DoS

预防启动模式。

4650

已建立的

IPsec

主模式安全关联。扩展模式下未启用。

不使用证书身份验证。

4651

已建立的

IPsec

主模式安全关联。扩展模式下未启用。

证书用于身份验证。

4652

一个

IPsec

主模式协商失败。

4653

一个

IPsec

主模式协商失败。

4655

IPsec

主模式安全关联结束。

4976

在主模式协商期间

IPsec

收到无效的协商数据包。

如果此问题仍然存在，

它可能表示

网络问题或试图修改或重播此 协商的。

5049

IPsec

安全关联已被删除。

5453

IPsec

策略代理计算机上应用

Active Directory

存储

IPsec

策略。

子类别：

IPsec

快速模式

ID

消息

4654

一个

IPsec

快速模式协商失败。

4977

在快速模式协商期间

IPsec < /p>

收到无效的协商数据包。

如果此问题仍然存在，

< br>它可能表

示网络问题或试图修改或重播此协商的。

5451

已建立的

IPsec

快速模式安全关联。

5452

IPsec

快速模式安全关联结束。

子类别：

注销

ID

消息

4634

帐户被注销。

4647

用户启动注销过程。

子类别：

登录

ID

消息

4624

已成功登录的帐户。

4625

帐户登录失败。

4648

使用显式凭据尝试登录。

4675

sid

已被筛选。

子类别：

网络策略服务器

ID

消息

6272

网络策略服务器向用户授予访问权限。

6273

网络策略服务器对用户拒绝访问。

6274

网络策略服务器放弃用户的请求。

6275

网络策略服务器放弃用户的记帐请求。

6276

网络策略服务器隔离的用户。

6277

网络策略服务器向用户授予访问权限，

但将其放在试用期，

因为主机不符合已定义的

运行状 况策略。

6278

因为主机符合已 定义的运行状况策略，网络策略服务器向用户授予完全访问权限。

6279

网络策略服务器锁定用户帐户由于重复身份验证失败的尝试。

6280

网络策略服务器解除锁定用户帐户。

子类别：

其他登录

< br>/

注销事件

ID

消息

4649

检测到重播攻击。

4778

会话已重新连接到一个窗口站。

4779

从窗口站断开的会话。

4800

工作站已锁定。

4801

工作站已解锁。

4802

屏幕保护程序被调用。

4803

屏幕保护程序被取消。

5378

所请求的凭据委派是不允许的策略。

5632

对无线网络进行身份验证进行了一个请求。

5633

对有线网络进行身份验证进行了一个请求。

子类别：

特殊登录

ID

消息

4964

特殊组已分配到一个新的登录。

对象访问类别：

生成的子类别：

应用程序

ID

消息

4665

尝试创建一个应用程序客户端上下文。

4666

应用程序试图执行的操作：

4667

应用程序客户端上下文已被删除。

4668

应用程序已初始化。

子类别：

证书服务

ID

消息

4868

证书管理器拒绝了挂起的证书请求。

4869

证书服务收到重新提交的证书申请。

4870

证书服务吊销的证书。

4871

证书服务收到发布证书吊销列表

(CRL)

的请求。

4872

证书服务发布证书吊销列表

(CRL)

。

4873

证书申请扩展已更改。

4874

一个或多个证书申请属性已更改。

4875

证书服务收到关机请求。

4876

证书服务备份已启动。

4877

证书服务备份已完成。

4878

证书服务还原已启动。

4879

证书服务还原已完成。

4880

证书服务已启动。

4881

证书服务已停止。

4882

证书服务的安全权限更改。

4883

证书服务检索到一个存档的密钥。

4884

证书服务已将证书导入它的数据库。

4885

证书服务的该审核筛选已更改。

4886

证书服务收到证书申请。

4887

证书服务批准证书申请并颁发了证书。

4888

证书服务拒绝证书申请。

4889

证书服务将证书申请的状态设置为挂起。

4890

证书服务的证书管理器设置更改。

4891

在

$$

证书服务中更改一个配置项。

4892

证书服务的属性已更改。

4893

证书服务存档了密钥。

4894

证书服务导入并存档了密钥。

4895

证书服务发布到

Active Directory

域服务的

CA

证书。

4896

已从证书数据库删除一个或多个行。

4897

启用角色分离：

4898

证书服务加载模板。

4899

证书服务模板进行更新。

4900

证书服务模板安全性已更新。

5120

OCSP

响应方服务已启动。

5121

OCSP

响应方服务已停止。

5122

在

$$ OCSP

响应方服务中更改一个配置条目。

5123

在

$$ OCSP

响应方服务中更改一个配置项。