事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。

事件ID:517     审核日志已经清除
事件ID:528     登陆成功                      可以显示客户端连接ip地址
事件ID:683     会话从 winstation 中断连接     可以查看客户端计算机名
事件ID:624     创建了用户帐户
事件ID:626     启用了用户帐户
事件ID:627     用户密码已更改
事件ID:628     设置了用户密码

Windows Server 2003安全事件ID分析
根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

  一、帐户登录事件

  下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

  672:已成功颁发和验证身份验证服务 (AS) 票证。

  673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

  674:安全主体已更新 AS 票证或 TGS 票证。

  675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

  676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

  677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

  678:帐户已成功映射到域帐户。

681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

  682:用户已重新连接至已断开的终端服务器会话。

  683:用户未注销就断开终端服务器会话。

  二、帐户管理事件

  下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

  624:用户帐户已创建。

  627:用户密码已更改。

  628:用户密码已设置。

  630:用户帐户已删除。

  631:全局组已创建。

  632:成员已添加至全局组。

  633:成员已从全局组删除。

  634:全局组已删除。

  635:已新建本地组。

  636:成员已添加至本地组。

  637:成员已从本地组删除。

  638:本地组已删除。

  639:本地组帐户已更改。

  641:全局组帐户已更改。

  642:用户帐户已更改。

  643:域策略已修改。

  644:用户帐户被自动锁定。

  645:计算机帐户已创建。

  646:计算机帐户已更改。

  647:计算机帐户已删除。

  648:禁用安全的本地安全组已创建。

  注意:

  从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。

  649:禁用安全的本地安全组已更改。

  650:成员已添加至禁用安全的本地安全组。

  651:成员已从禁用安全的本地安全组删除。

  652:禁用安全的本地组已删除。

  653:禁用安全的全局组已创建。

  654:禁用安全的全局组已更改。

  655:成员已添加至禁用安全的全局组。

  656:成员已从禁用安全的全局组删除。

  657:禁用安全的全局组已删除。

  658:启用安全的通用组已创建。

  659:启用安全的通用组已更改。

  660:成员已添加至启用安全的通用组。

  661:成员已从启用安全的通用组删除。

  662:启用安全的通用组已删除。

  663:禁用安全的通用组已创建。

  664:禁用安全的通用组已更改。

  665:成员已添加至禁用安全的通用组。

  666:成员已从禁用安全的通用组删除。

  667:禁用安全的通用组已删除。

  668:组类型已更改。

  684:管理组成员的安全描述符已设置。

  注意:

  在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。

  685:帐户名称已更改。

  三、目录服务访问事件

  下面显示了由"审核目录服务访问"安全模板设置所生成的安全事件。

  566:发生了一般对象操作。

  四、登录事件ID

  528:用户成功登录到计算机。 

  529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

  530:登录失败。试图在允许的时间外登录。

  531:登录失败。试图使用禁用的帐户登录。

  532:登录失败。试图使用已过期的帐户登录。

  533:登录失败。不允许登录到指定计算机的用户试图登录。

  534:登录失败。用户试图使用不允许的密码类型登录。

  535:登录失败。指定帐户的密码已过期。

  536:登录失败。Net Logon 服务没有启动。

  537:登录失败。由于其他原因登录尝试失败。

  注意:

  在某些情况下,登录失败的原因可能是未知的。

  538:用户的注销过程已完成。

  539:登录失败。试图登录时,该帐户已锁定。

  540:用户成功登录到网络。

  541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。

  542:数据频道已终止。

  543:主要模式已终止。

  注意:

  如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。

  544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。

  545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。

  546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

  547:在 IKE 握手过程中,出现错误。

  548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

  549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。

  550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

  551:用户已启动注销过程。

  552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

  682:用户已重新连接至已断开的终端服务器会话。

  683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。

  五、对象访问事件

  下面显示了由"审核对象访问"安全模板设置所生成的安全事件。

  560:访问权限已授予现有的对象。

  562:指向对象的句柄已关闭。

  563:试图打开一个对象并打算将其删除。

  注意:

  当在 Createfile() 中指定了 FILE_Delete_ON_CLOSE 标记时,此事件可以用于文件系统。

  564:受保护对象已删除。

  565:访问权限已授予现有的对象类型。

  567:使用了与句柄关联的权限。

  注意:

  创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。

  568:试图创建与正在审核的文件的硬链接。

  569:授权管理器中的资源管理器试图创建客户端上下文。

  570:客户端试图访问对象。

  注意:

  在此对象上发生的每个尝试操作都将生成一个事件。

  571:客户端上下文由授权管理器应用程序删除。

  572:Administrator Manager(管理员管理器)初始化此应用程序。

  772:证书管理器已拒绝挂起的证书申请。

  773:证书服务已收到重新提交的证书申请。

  774:证书服务已吊销证书。

  775:证书服务已收到发行证书吊销列表 (CRL) 的请求。

  776:证书服务已发行 CRL。

  777:已制定证书申请扩展。

  778:已更改多个证书申请属性。

  779:证书服务已收到关机请求。

  780:已开始证书服务备份。

  781:已完成证书服务备份。

  782:已开始证书服务还原。

  783:已完成证书服务还原。

  784:证书服务已开始。

  785:证书服务已停止。

  786:已更改证书服务的安全权限。

  787:证书服务已检索存档密钥。

  788:证书服务已将证书导入其数据库中。

  789:证书服务审核筛选已更改。

  790:证书服务已收到证书申请。

  791:证书服务已批准证书申请并已颁发证书。

  792:证书服务已拒绝证书申请。

  793:证书服务将证书申请状态设为挂起。

  794:证书服务的证书管理器设置已更改。

  795:证书服务中的配置项已更改。

  796:证书服务的属性已更改。

  797:证书服务已将密钥存档。

  798:证书服务导入密钥并将其存档。

  799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。

  800:已从证书数据库删除一行或多行。

  801:角色分离已启用。

六、审核策略更改事件

  下面显示了由"审核策略更改"安全模板设置所生成的安全事件。

  608:已分配用户权限。

  609:用户权限已删除。

  610:与其他域的信任关系已创建。

  611:与其他域的信任关系已删除。

  612:审核策略已更改。

  613:Internet 协议安全 (IPSec) 策略代理已启动。

  614:IPSec 策略代理已禁用。

  615:IPSec 策略代理已更改。

  616:IPSec 策略代理遇到一个可能很严重的故障。

  617:Kerberos v5 策略已更改。

  618:加密数据恢复策略已更改。

  620:与其他域的信任关系已修改。

  621:已授予帐户系统访问权限。

  622:已删除帐户的系统访问权限。

  623:按用户设置审核策略。

  625:按用户刷新审核策略。

  768:检测到两个林的名称空间元素之间有冲突。

  注意:

  当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。

  769:已添加受信任的林信息。

  注意:

  当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。

  770:已删除受信任的林信息。

  注意:

  请参见事件 769 的事件描述。

  771:已修改受信任的林信息。

  注意:

  请参见事件 769 的事件描述。

  805:事件日志服务读取会话的安全日志配置。

  七、特权使用事件

  下面显示了由"审核特权使用"安全模板设置所生成的安全事件。

  576:指定的特权已添加到用户的访问令牌中。

  注意:

  当用户登录时生成此事件。

  577:用户试图执行需要特权的系统服务操作。

  578:特权用于已经打开的受保护对象的句柄。

  八、详细的跟踪事件

  下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。

  592:已创建新进程。

  593:进程已退出。

  594:对象句柄已复制。

  595:已获取对象的间接访问权。

  596:数据保护主密钥已备份。

  注意:

  主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。

  597:数据保护主密钥已从恢复服务器恢复。

  598:审核过的数据已受保护。

  599:审核过的数据未受保护。

  600:已分配给进程主令牌。

  601:用户试图安装服务。

  602:已创建计划程序任务。

  九、审核系统事件

  下面显示了由"审核系统事件"安全模板设置所生成的系统事件。

  512:Windows 正在启动。

  513:Windows 正在关机。

  514:本地安全机制机构已加载身份验证数据包。

  515:受信任的登录过程已经在本地安全机构注册。

  516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。

  517:审核日志已清除。

  518:安全帐户管理器已加载通知数据包。

  519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。

  520:系统时间已更改。

事件查看器事件ID部分说明的更多相关文章

  1. 事件查看器常见ID代码解释

    ID 类型 来   源 代 表 的 意 义 举 例 解 释 信息 Serial 在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo).将使用该方式. 错误 W ...

  2. IIS事件查看器_WebServer事件查看器_帮助查看IIS-Web服务器事件执行日志

    IIS服务器是我们常用的Web站点部署工具,而我们有时可能遇到IIS服务器的应用程序池莫名其妙的关闭了,或者是其他未知原因等等,我们这是可以通过微软提供的WebServer(Web服务事件查看器),来 ...

  3. Windows 事件查看器(收集)

    原文:Windows 事件查看器(收集) 事件查看器相当于一本厚厚的系统日志,可以查看关于硬件.软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在"控制面板→管理 ...

  4. Server 2008 R2 事件查看器实现日志分析

    在 windows server 2008 R2 中,可以通过点击 "开始" -> "管理工具" -> "事件查看器" ,来打开 ...

  5. 应用程序池自动停止,事件查看器报错6D000780

    20210913 今天中午网站突然报错,后台程序无法访问,503错误. 调查发现"应用程序池"被关闭,但是手动开启后不久,又被关闭. 本地调试没问题,所以一开始怀疑是服务器或者Ng ...

  6. 转: Windows如何打开和使用事件查看器管理计算机

    方法/步骤   1 右键单击"我的电脑"(win8中名称为"这台电脑.This Computer"),选择"管理",点击. 步骤阅读 2 出 ...

  7. 谷歌浏览器插件-html页面js事件查看器

    谷歌浏览器插件-html页面js事件查看器 1.下载 下载地址:http://files.cnblogs.com/files/graceup/VisualEvent.zip 解压得到文件:Visual ...

  8. windows事件查看器

    如果一个软件发生异常,软件本身没有提示异常信息, 需要从事件查看器中查看产生的错误事件 运行输入eventvwr或者win + X

  9. 使用Windows事件查看器调试崩溃

    本文讨论如何使用Windows事件查看器获取实际崩溃的模块以及代码中崩溃的位置.示例代码是用C++编写的,以生成不同类型的崩溃,例如访问冲突和堆栈溢出. 简介 我经常听同事和QA那里听说,一个特定的崩 ...

随机推荐

  1. Markdown语言详解

    相信大家在github上面分享了不少的项目和Demo,每次创建新项目的时候,使用的都是默认的README.md文件,也不曾对这个文件有过什么了解.但是在看到别人写的项目的README.md里面竟然有图 ...

  2. javascript 数据类型转换

    javascrīpt 类型转换函数 在Javascrīpt中,Double类型和Int类型都是看作为Number对象. 1.Number转成String number.toString() Strin ...

  3. 使用MVVM框架avalon.js实现一个简易日历

    最近在做公司内部的运营管理系统,因为与日历密切相关,同时无需触发条件直接显示在页面上,所以针对这样的功能场景,我就用avalon快速实现了一个简易日历,毕竟也是第一次造日历这种轮子,所以这里记录下我当 ...

  4. JavaWeb学习总结(五十三)——Web应用中使用JavaMail发送邮件

    现在很多的网站都提供有用户注册功能, 通常我们注册成功之后就会收到一封来自注册网站的邮件.邮件里面的内容可能包含了我们的注册的用户名和密码以及一个激活账户的超链接等信息.今天我们也来实现一个这样的功能 ...

  5. PHP get_class 返回对象的类名

    get_class (PHP 4, PHP 5) get_class — 返回对象的类名 说明 string get_class ([ object $obj ] ) 返回对象实例 obj 所属类的名 ...

  6. ecshop之transport和jquery冲突之完美解决方案

    众所周知:ecshop的transport.js文件和Jquery是冲突的,两个文件不能同时调用,现给出以下完美解决方案:原因分析:在transport.js文件中,大概 580行到590行之间,这个 ...

  7. git之remote repository create(远程仓库创建)

    参考:Git教程 - 廖雪峰的官方网站 1.在Git bash窗口执行如下指令创建SSH KEY: ssh-keygen -t rsa -C "sunjf@biomarker.com.cn& ...

  8. mysql常用语句总结

    1.创建语句 CREATE DATABASE database_name //创建数据库 //删表 DROP TABLE IF EXISTS `t_social_user_extend`; //建表C ...

  9. javascript高级程序设计---NodeList和HTMLCollection

    节点对象都是单个节点,但是有时会需要一种数据结构,能够容纳多个节点.DOM提供两种接口,用于部署这种节点的集合分别是NodeList和HTMLCollection MDN上的定义: NodeList: ...

  10. flexbox-CSS3弹性盒模型flexbox完整版教程

    原文链接:http://caibaojian.com/flexbox-guide.html flexbox-CSS3弹性盒模型flexbox完整版教程 A-A+ 前端博客•2014-05-08•前端开 ...