關於windows service 2003 與 2008 事件ID對照表
下表列出了應在環境中監視的事件,具體取決於“監控Active Directory中的妥協跡象”中提供的建議。在下表中,“當前Windows事件ID”列列出了在當前主流支持的Windows和Windows Server版本中實現的事件ID,以下表格以“2008”代稱。
“舊版Windows事件ID”列列出了舊版Windows中的相應事件ID,例如運行Windows XP或更早版本的客戶端計算機以及運行Windows Server 2003或更早版本的服務器,以下表格以“2003”代稱。“潛在關鍵性”列標識在檢測攻擊時是否應將該事件視為低,中或高關鍵性。以下表格以“級別”代稱,“事件摘要”列提供事件的簡要說明以下表格以“概述”代稱。
高可能的臨界值意味着應該調查一次事件。中等或低的潛在臨界值意味着只有在出現意外情況或在測量的時間段內顯着超過預期基線的數量時才應調查這些事件。在創建需要強制性調查響應的警報之前,所有組織都應在其環境中測試這些建議。每個環境都是不同的,並且由於其他無害事件,可能會發生一些潛在危險度高的事件。
| 2008 | 2003 | 級別 | 概述 |
|---|---|---|---|
| 4618 | N / A | 高 | 已發生受監視的安全事件模式。 |
| 4649 | N / A | 高 | 檢測到重播攻擊。由於錯誤配置錯誤,可能是無害的誤報。 |
| 4719 | 612 | 高 | 系統審核策略已更改。 |
| 4765 | N / A | 高 | SID歷史記錄已添加到帳戶中。 |
| 4766 | N / A | 高 | 嘗試將SID歷史記錄添加到帳戶失敗。 |
| 4794 | N / A | 高 | 嘗試設置目錄服務還原模式。 |
| 4897 | 801 | 高 | 啟用角色分離: |
| 4964 | N / A | 高 | 特殊組已分配給新登錄。 |
| 5124 | N / A | 高 | 在OCSP Responder Service上更新了安全設置 |
| N / A | 550 | 中到高 | 可能的拒絕服務(DoS)攻擊 |
| 1102 | 517 | 中到高 | 審核日志已清除 |
| 4621 | N / A | 介質 | 管理員從CrashOnAuditFail恢復了系統。現在,將允許非管理員的用戶登錄。可能未記錄某些可審核活動。 |
| 4675 | N / A | 介質 | SID被過濾掉了。 |
| 4692 | N / A | 介質 | 嘗試備份數據保護主密鑰。 |
| 4693 | N / A | 介質 | 嘗試恢復數據保護主密鑰。 |
| 4706 | 610 | 介質 | 為域創建了新的信任。 |
| 4713 | 617 | 介質 | Kerberos策略已更改。 |
| 4714 | 618 | 介質 | 加密數據恢復策略已更改。 |
| 4715 | N / A | 介質 | 對象的審核策略(SACL)已更改。 |
| 4716 | 620 | 介質 | 可信域信息已被修改。 |
| 4724 | 628 | 介質 | 嘗試重置帳戶的密碼。 |
| 4727 | 631 | 介質 | 已創建啟用安全性的全局組。 |
| 4735 | 639 | 介質 | 已啟用安全性的本地組已更改。 |
| 4737 | 641 | 介質 | 啟用安全性的全局組已更改。 |
| 4739 | 643 | 介質 | 域策略已更改。 |
| 4754 | 658 | 介質 | 已創建啟用安全性的通用組。 |
| 4755 | 659 | 介質 | 啟用安全性的通用組已更改。 |
| 4764 | 667 | 介質 | 已刪除安全性已禁用的組 |
| 4764 | 668 | 介質 | 組的類型已更改。 |
| 4780 | 684 | 介質 | ACL是在作為管理員組成員的帳戶上設置的。 |
| 4816 | N / A | 介質 | RPC在解密傳入消息時檢測到完整性違規。 |
| 4865 | N / A | 介質 | 添加了受信任的林信息條目。 |
| 4866 | N / A | 介質 | 已刪除受信任的林信息條目。 |
| 4867 | N / A | 介質 | 已修改受信任的林信息條目。 |
| 4868 | 772 | 介質 | 證書管理器拒絕了掛起的證書請求。 |
| 4870 | 774 | 介質 | 證書服務撤銷了證書。 |
| 4882 | 786 | 介質 | 證書服務的安全權限已更改。 |
| 4885 | 789 | 介質 | 證書服務的審核篩選器已更改。 |
| 4890 | 794 | 介質 | 證書服務的證書管理器設置已更改。 |
| 4892 | 796 | 介質 | 證書服務的屬性已更改。 |
| 4896 | 800 | 介質 | 已從證書數據庫中刪除一行或多行。 |
| 4906 | N / A | 介質 | CrashOnAuditFail值已更改。 |
| 4907 | N / A | 介質 | 對象的審核設置已更改。 |
| 4908 | N / A | 介質 | 特殊組登錄表已修改。 |
| 4912 | 807 | 介質 | 每用戶審核策略已更改。 |
| 4960 | N / A | 介質 | IPsec丟棄了未通過完整性檢查的入站數據包。如果此問題仍然存在,則可能表示網絡問題或正在修改數據包傳輸到此計算機。驗證從遠程計算機發送的數據包是否與此計算機接收的數據包相同。此錯誤還可能表示與其他IPsec實現的互操作性問題。 |
| 4961 | N / A | 介質 | IPsec丟棄了重放檢查失敗的入站數據包。如果此問題仍然存在,則可能表示對此計算機進行了重播攻擊。 |
| 4962 | N / A | 介質 | IPsec丟棄了重放檢查失敗的入站數據包。入站數據包的序列號太低,以確保它不是重播。 |
| 4963 | N / A | 介質 | IPsec丟棄了應該受到保護的入站明文數據包。這通常是由於遠程計算機在不通知此計算機的情況下更改其IPsec策略。這也可能是欺騙性攻擊企圖。 |
| 4965 | N / A | 介質 | IPsec從遠程計算機收到一個包含不正確的安全參數索引(SPI)的數據包。這通常是由損壞數據包的硬件故障引起的。如果這些錯誤仍然存在,請驗證從遠程計算機發送的數據包是否與此計算機接收的數據包相同。此錯誤還可能表示與其他IPsec實現的互操作性問題。在這種情況下,如果不阻止連接,則可以忽略這些事件。 |
| 4976 | N / A | 介質 | 在主模式協商期間,IPsec收到無效的協商數據包。如果此問題仍然存在,則可能表示存在網絡問題或嘗試修改或重播此協商。 |
| 4977 | N / A | 介質 | 在快速模式協商期間,IPsec收到無效的協商數據包。如果此問題仍然存在,則可能表示存在網絡問題或嘗試修改或重播此協商。 |
| 4978 | N / A | 介質 | 在擴展模式協商期間,IPsec收到無效的協商數據包。如果此問題仍然存在,則可能表示存在網絡問題或嘗試修改或重播此協商。 |
| 4983 | N / A | 介質 | IPsec擴展模式協商失敗。相應的主模式安全關聯已被刪除。 |
| 4984 | N / A | 介質 | IPsec擴展模式協商失敗。相應的主模式安全關聯已被刪除。 |
| 5027 | N / A | 介質 | Windows防火牆服務無法從本地存儲中檢索安全策略。該服務將繼續執行當前政策。 |
| 5028 | N / A | 介質 | Windows防火牆服務無法解析新的安全策略。該服務將繼續使用當前強制執行的策略。 |
| 5029 | N / A | 介質 | Windows防火牆服務無法初始化驅動程序。該服務將繼續執行當前政策。 |
| 5030 | N / A | 介質 | Windows防火牆服務無法啟動。 |
| 5035 | N / A | 介質 | Windows防火牆驅動程序無法啟動。 |
| 5037 | N / A | 介質 | Windows防火牆驅動程序檢測到嚴重的運行時錯 終止。 |
| 5038 | N / A | 介質 | 代碼完整性確定文件的圖像哈希無效。由於未經授權的修改,文件可能已損壞,或者無效的哈希可能表示潛在的磁盤設備錯誤。 |
| 5120 | N / A | 介質 | OCSP響應程序服務已啟動 |
| 5121 | N / A | 介質 | OCSP響應程序服務已停止 |
| 5122 | N / A | 介質 | OCSP Responder Service中的配置條目已更改 |
| 5123 | N / A | 介質 | OCSP Responder Service中的配置條目已更改 |
| 5376 | N / A | 介質 | 已備份憑據管理器憑據。 |
| 5377 | N / A | 介質 | Credential Manager憑據已從備份還原。 |
| 5453 | N / A | 介質 | 與遠程計算機的IPsec協商失敗,因為未啟動IKE和AuthIP IPsec密鑰模塊(IKEEXT)服務。 |
| 5480 | N / A | 介質 | IPsec服務無法獲取計算機上的完整網絡接口列表。這會帶來潛在的安全風險,因為某些網絡接口可能無法獲得應用的IPsec過濾器提供的保護。使用IP安全監視器管理單元診斷問題。 |
| 5483 | N / A | 介質 | IPsec服務無法初始化RPC服務器。無法啟動IPsec服務。 |
| 5484 | N / A | 介質 | IPsec服務遇到嚴重故障並已關閉。關閉IPsec服務可能會使計算機面臨更大的網絡攻擊風險或使計算機面臨潛在的安全風險。 |
| 5485 | N / A | 介質 | IPsec服務無法在網絡接口的即插即用事件上處理某些IPsec篩選器。這會帶來潛在的安全風險,因為某些網絡接口可能無法獲得應用的IPsec過濾器提供的保護。使用IP安全監視器管理單元診斷問題。 |
| 6145 | N / A | 介質 | 處理組策略對象中的安全策略時發生一個或多個錯誤。 |
| 6273 | N / A | 介質 | 網絡策略服務器拒絕訪問用戶。 |
| 6274 | N / A | 介質 | 網絡策略服務器放棄了對用戶的請求。 |
| 6275 | N / A | 介質 | 網絡策略服務器放棄了用戶的記帳請求。 |
| 6276 | N / A | 介質 | 網絡策略服務器隔離了用戶。 |
| 6277 | N / A | 介質 | 網絡策略服務器授予用戶訪問權限,但由於主機未滿足定義的健康策略而將其置於試用期。 |
| 6278 | N / A | 介質 | 網絡策略服務器授予用戶完全訪問權限,因為主機符合定義的健康策略。 |
| 6279 | N / A | 介質 | 由於重復失敗的身份驗證嘗試,網絡策略服務器鎖定了用戶帳戶 |
| 6280 | N / A | 介質 | 網絡策略服務器解鎖了用戶帳戶。 |
| - | 640 | 介質 | 一般帳戶數據庫已更改 |
| - | 619 | 介質 | 服務質量政策發生了變化 |
| 24586 | N / A | 介質 | 轉換音量時遇到錯誤 |
| 24592 | N / A | 介質 | 嘗試在卷%2上自動重新啟動轉換失敗。 |
| 24593 | N / A | 介質 | 元數據寫入:卷%2在嘗試修改元數據時返回錯誤。如果故障仍然存在,請解密卷 |
| 24594 | N / A | 介質 | 元數據重建:嘗試在卷%2上寫入元數據副本失敗,並且可能顯示為磁盤損壞。如果故障仍然存在,請解密卷。 |
| 4608 | 512 | 低 | Windows正在啟動。 |
| 4609 | 513 | 低 | Windows正在關閉。 |
| 4610 | 514 | 低 | 本地安全機構已加載身份驗證包。 |
| 4611 | 515 | 低 | 已向本地安全機構注冊了受信任的登錄進程。 |
| 4612 | 516 | 低 | 為審計消息排隊分配的內部資源已經用盡,導致一些審計丟失。 |
| 4614 | 518 | 低 | 安全帳戶管理器已加載通知包。 |
| 4615 | 519 | 低 | LPC端口使用無效。 |
| 4616 | 520 | 低 | 系統時間已更改。 |
| 4622 | N / A | 低 | 本地安全機構已加載安全包。 |
| 4624 | 528540 | 低 | 帳戶已成功登錄。 |
| 4625 | 529-537,539 | 低 | 帳戶無法登錄。 |
| 4634 | 538 | 低 | 帳戶已注銷。 |
| 4646 | N / A | 低 | IKE DoS防護模式已啟動。 |
| 4647 | 551 | 低 | 用戶啟動了注銷。 |
| 4648 | 552 | 低 | 使用顯式憑據嘗試登錄。 |
| 4650 | N / A | 低 | 建立了IPsec主模式安全關聯。未啟用擴展模式。未使用證書身份驗證。 |
| 4651 | N / A | 低 | 建立了IPsec主模式安全關聯。未啟用擴展模式。證書用於身份驗證。 |
| 4652 | N / A | 低 | IPsec主模式協商失敗。 |
| 4653 | N / A | 低 | IPsec主模式協商失敗。 |
| 4654 | N / A | 低 | IPsec快速模式協商失敗。 |
| 4655 | N / A | 低 | IPsec主模式安全關聯已結束。 |
| 4656 | 560 | 低 | 請求了對象的句柄。 |
| 4657 | 567 | 低 | 注冊表值已修改。 |
| 4658 | 562 | 低 | 對象的句柄已關閉。 |
| 4659 | N / A | 低 | 請求刪除對象的句柄。 |
| 4660 | 564 | 低 | 對象已刪除。 |
| 4661 | 565 | 低 | 請求了對象的句柄。 |
| 4662 | 566 | 低 | 對對象執行了操作。 |
| 4663 | 567 | 低 | 嘗試訪問對象。 |
| 4664 | N / A | 低 | 試圖創建一個硬鏈接。 |
| 4665 | N / A | 低 | 嘗試創建應用程序客戶端上下文。 |
| 4666 | N / A | 低 | 應用程序嘗試了一個操作: |
| 4667 | N / A | 低 | 應用程序客戶端上下文已刪除。 |
| 4668 | N / A | 低 | 應用程序已初始化。 |
| 4670 | N / A | 低 | 對象的權限已更改。 |
| 4671 | N / A | 低 | 應用程序試圖通過TBS訪問被阻止的序號。 |
| 4672 | 576 | 低 | 分配給新登錄的特權。 |
| 4673 | 577 | 低 | 特權服務被召喚。 |
| 4674 | 578 | 低 | 嘗試對特權對象執行操作。 |
| 4688 | 592 | 低 | 已經創建了一個新流程。 |
| 4689 | 593 | 低 | 一個過程已經退出。 |
| 4690 | 594 | 低 | 嘗試復制對象的句柄。 |
| 4691 | 595 | 低 | 請求間接訪問對象。 |
| 4694 | N / A | 低 | 試圖保護可審計的受保護數據。 |
| 4695 | N / A | 低 | 嘗試不受保護的可審計受保護數據。 |
| 4696 | 600 | 低 | 主要令牌已分配給進程。 |
| 4697 | 601 | 低 | 嘗試安裝服務 |
| 4698 | 602 | 低 | 已創建計划任務。 |
| 4699 | 602 | 低 | 計划任務已刪除。 |
| 4700 | 602 | 低 | 已啟用計划任務。 |
| 4701 | 602 | 低 | 計划任務已禁用。 |
| 4702 | 602 | 低 | 計划任務已更新。 |
| 4704 | 608 | 低 | 已分配用戶權限。 |
| 4705 | 609 | 低 | 用戶權限已被刪除。 |
| 4707 | 611 | 低 | 已刪除對域的信任。 |
| 4709 | N / A | 低 | IPsec服務已啟動。 |
| 4710 | N / A | 低 | IPsec服務已禁用。 |
| 4711 | N / A | 低 | 可能包含以下任何一項:PAStore引擎在計算機上應用了Active Directory存儲IPsec策略的本地緩存副本.PAStore Engine在計算機上應用了Active Directory存儲IPsec策略.PAStore Engine在計算機上應用了本地注冊表存儲IPsec策略.PAStore Engine無法在計算機上應用Active Directory存儲IPsec策略的本地緩存副本.PAStore引擎無法在計算機上應用Active Directory存儲IPsec策略.PAStore引擎無法在計算機上應用本地注冊表存儲IPsec策略.PAStore引擎無法應用某些計算機上活動IPsec策略的規則.PAStore引擎無法在計算機上加載目錄存儲IPsec策略.PAStore Engine在計算機上加載了目錄存儲IPsec策略。PAStore引擎無法在計算機上加載本地存儲IPsec策略.PAStore Engine在計算機上加載了本地存儲IPsec策略.PAStore引擎輪詢活動IPsec策略的更改並檢測不到任何更改。 |
| 4712 | N / A | 低 | IPsec服務遇到了潛在的嚴重故障。 |
| 4717 | 621 | 低 | 系統安全訪問權限已授予帳戶。 |
| 4718 | 622 | 低 | 系統安全訪問已從帳戶中刪除。 |
| 4720 | 624 | 低 | 已創建用戶帳戶。 |
| 4722 | 626 | 低 | 用戶帳戶已啟用。 |
| 4723 | 627 | 低 | 嘗試更改帳戶的密碼。 |
| 4725 | 629 | 低 | 用戶帳戶已被禁用。 |
| 4726 | 630 | 低 | 用戶帳戶已刪除。 |
| 4728 | 632 | 低 | 已將成員添加到啟用安全性的全局組中。 |
| 4729 | 633 | 低 | 成員已從啟用安全性的全局組中刪除。 |
| 4730 | 634 | 低 | 已刪除啟用安全性的全局組。 |
| 4731 | 635 | 低 | 已創建啟用安全性的本地組。 |
| 4732 | 636 | 低 | 已將成員添加到啟用安全性的本地組。 |
| 4733 | 637 | 低 | 成員已從啟用安全性的本地組中刪除。 |
| 4734 | 638 | 低 | 已刪除已啟用安全性的本地組。 |
| 4738 | 642 | 低 | 用戶帳戶已更改。 |
| 4740 | 644 | 低 | 用戶帳戶已被鎖定。 |
| 4741 | 645 | 低 | 計算機帳戶已更改。 |
| 4742 | 646 | 低 | 計算機帳戶已更改。 |
| 4743 | 647 | 低 | 計算機帳戶已刪除。 |
| 4744 | 648 | 低 | 已創建禁用安全性的本地組。 |
| 4745 | 649 | 低 | 已禁用安全性的本地組已更改。 |
| 4746 | 650 | 低 | 已將成員添加到已禁用安全性的本地組。 |
| 4747 | 651 | 低 | 已從安全性已禁用的本地組中刪除成員。 |
| 4748 | 652 | 低 | 已刪除安全性已禁用的本地組。 |
| 4749 | 653 | 低 | 已創建一個禁用安全性的全局組。 |
| 4750 | 654 | 低 | 已禁用安全性的全局組已更改。 |
| 4751 | 655 | 低 | 已將成員添加到已禁用安全性的全局組中。 |
| 4752 | 656 | 低 | 成員已從禁用安全性的全局組中刪除。 |
| 4753 | 657 | 低 | 已刪除安全性已禁用的全局組。 |
| 4756 | 660 | 低 | 已將成員添加到啟用安全性的通用組中。 |
| 4757 | 661 | 低 | 成員已從啟用安全性的通用組中刪除。 |
| 4758 | 662 | 低 | 已刪除啟用安全性的通用組。 |
| 4759 | 663 | 低 | 創建了一個安全禁用的通用組。 |
| 4760 | 664 | 低 | 安全性已禁用的通用組已更改。 |
| 4761 | 665 | 低 | 已將成員添加到已禁用安全性的通用組中。 |
| 4762 | 666 | 低 | 成員已從禁用安全性的通用組中刪除。 |
| 4767 | 671 | 低 | 用戶帳戶已解鎖。 |
| 4768 | 672676 | 低 | 請求了Kerberos身份驗證票證(TGT)。 |
| 4769 | 673 | 低 | 請求了Kerberos服務票證。 |
| 4770 | 674 | 低 | 更新了Kerberos服務票證。 |
| 4771 | 675 | 低 | Kerberos預身份驗證失敗。 |
| 4772 | 672 | 低 | Kerberos身份驗證票證請求失敗。 |
| 4774 | 678 | 低 | 已映射帳戶以進行登錄。 |
| 4775 | 679 | 低 | 無法映射帳戶以進行登錄。 |
| 4776 | 680681 | 低 | 域控制器嘗試驗證帳戶的憑據。 |
| 4777 | N / A | 低 | 域控制器無法驗證帳戶的憑據。 |
| 4778 | 682 | 低 | 會話重新連接到Window Station。 |
| 4779 | 683 | 低 | 會話已與Window Station斷開連接。 |
| 4781 | 685 | 低 | 帳戶名稱已更改: |
| 4782 | N / A | 低 | 密碼哈希帳戶被訪問。 |
| 4783 | 667 | 低 | 創建了一個基本應用程序組。 |
| 4784 | N / A | 低 | 基本應用程序組已更改。 |
| 4785 | 689 | 低 | 成員已添加到基本應用程序組。 |
| 4786 | 690 | 低 | 成員已從基本應用程序組中刪除。 |
| 4787 | 691 | 低 | 非成員已添加到基本應用程序組。 |
| 4788 | 692 | 低 | 從基本應用程序組中刪除了非成員。 |
| 4789 | 693 | 低 | 基本應用程序組已刪除。 |
| 4790 | 694 | 低 | 已創建LDAP查詢組。 |
| 4793 | N / A | 低 | 密碼策略檢查API已被調用。 |
| 4800 | N / A | 低 | 工作站已鎖定。 |
| 4801 | N / A | 低 | 工作站已解鎖。 |
| 4802 | N / A | 低 | 屏幕保護程序被調用。 |
| 4803 | N / A | 低 | 屏幕保護程序被解雇了。 |
| 4864 | N / A | 低 | 檢測到名稱空間沖突。 |
| 4869 | 773 | 低 | 證書服務收到重新提交的證書請求。 |
| 4871 | 775 | 低 | 證書服務收到了發布證書吊銷列表(CRL)的請求。 |
| 4872 | 776 | 低 | 證書服務發布了證書吊銷列表(CRL)。 |
| 4873 | 777 | 低 | 證書申請延期已更改。 |
| 4874 | 778 | 低 | 一個或多個證書請求屬性已更改。 |
| 4875 | 779 | 低 | 證書服務收到關閉請求。 |
| 4876 | 780 | 低 | 證書服務備份已啟動。 |
| 4877 | 781 | 低 | 證書服務備份已完成。 |
| 4878 | 782 | 低 | 證書服務還原已開始。 |
| 4879 | 783 | 低 | 證書服務恢復已完成。 |
| 4880 | 784 | 低 | 證書服務已啟動。 |
| 4881 | 785 | 低 | 證書服務已停止。 |
| 4883 | 787 | 低 | 證書服務檢索到存檔密鑰。 |
| 4884 | 788 | 低 | 證書服務將證書導入其數據庫。 |
| 4886 | 790 | 低 | 證書服務收到證書請求。 |
| 4887 | 791 | 低 | 證書服務批准了證書請求並頒發了證書。 |
| 4888 | 792 | 低 | 證書服務拒絕了證書請求。 |
| 4889 | 793 | 低 | 證書服務將證書請求的狀態設置為掛起。 |
| 4891 | 795 | 低 | 證書服務中的配置條目已更改。 |
| 4893 | 797 | 低 | 證書服務存檔密鑰。 |
| 4894 | 798 | 低 | 證書服務導入並存檔了一個密鑰。 |
| 4895 | 799 | 低 | 證書服務將CA證書發布到Active Directory域服務。 |
| 4898 | 802 | 低 | 證書服務加載了一個模板。 |
| 4902 | N / A | 低 | 已創建每用戶審核策略表。 |
| 4904 | N / A | 低 | 嘗試注冊安全事件源。 |
| 4905 | N / A | 低 | 嘗試取消注冊安全事件源。 |
| 4909 | N / A | 低 | TBS的本地策略設置已更改。 |
| 4910 | N / A | 低 | TBS的組策略設置已更改。 |
| 4928 | N / A | 低 | 建立了Active Directory副本源命名上下文。 |
| 4929 | N / A | 低 | 已刪除Active Directory副本源命名上下文。 |
| 4930 | N / A | 低 | 已修改Active Directory副本源命名上下文。 |
| 4931 | N / A | 低 | 已修改Active Directory副本目標命名上下文。 |
| 4932 | N / A | 低 | 已開始同步Active Directory命名上下文的副本。 |
| 4933 | N / A | 低 | Active Directory命名上下文的副本的同步已結束。 |
| 4934 | N / A | 低 | 已復制Active Directory對象的屬性。 |
| 4935 | N / A | 低 | 復制失敗開始。 |
| 4936 | N / A | 低 | 復制失敗結束。 |
| 4937 | N / A | 低 | 從副本中刪除了一個延遲對象。 |
| 4944 | N / A | 低 | Windows防火牆啟動時,以下策略處於活動狀態。 |
| 4945 | N / A | 低 | Windows防火牆啟動時列出了規則。 |
| 4946 | N / A | 低 | 已對Windows防火牆例外列表進行了更改。增加了一條規則。 |
| 4947 | N / A | 低 | 已對Windows防火牆例外列表進行了更改。規則被修改了。 |
| 4948 | N / A | 低 | 已對Windows防火牆例外列表進行了更改。規則已刪除。 |
| 4949 | N / A | 低 | Windows防火牆設置已恢復為默認值。 |
| 4950 | N / A | 低 | Windows防火牆設置已更改。 |
| 4951 | N / A | 低 | 規則已被忽略,因為Windows防火牆無法識別其主要版本號。 |
| 4952 | N / A | 低 | 已忽略規則的某些部分,因為Windows防火牆無法識別其次要版本號。該規則的其他部分將被強制執行。 |
| 4953 | N / A | 低 | Windows防火牆已忽略規則,因為它無法解析規則。 |
| 4954 | N / A | 低 | Windows防火牆組策略設置已更改。已應用新設置。 |
| 4956 | N / A | 低 | Windows防火牆已更改活動配置文件。 |
| 4957 | N / A | 低 | Windows防火牆未應用以下規則: |
| 4958 | N / A | 低 | Windows防火牆未應用以下規則,因為規則引用了此計算機上未配置的項目: |
| 4979 | N / A | 低 | 建立了IPsec主模式和擴展模式安全關聯。 |
| 4980 | N / A | 低 | 建立了IPsec主模式和擴展模式安全關聯。 |
| 4981 | N / A | 低 | 建立了IPsec主模式和擴展模式安全關聯。 |
| 4982 | N / A | 低 | 建立了IPsec主模式和擴展模式安全關聯。 |
| 4985 | N / A | 低 | 交易狀態已發生變化。 |
| 5024 | N / A | 低 | Windows防火牆服務已成功啟動。 |
| 5025 | N / A | 低 | Windows防火牆服務已停止。 |
| 5031 | N / A | 低 | Windows防火牆服務阻止應用程序接受網絡上的傳入連接。 |
| 5032 | N / A | 低 | Windows防火牆無法通知用戶它阻止應用程序接受網絡上的傳入連接。 |
| 5033 | N / A | 低 | Windows防火牆驅動程序已成功啟動。 |
| 5034 | N / A | 低 | Windows防火牆驅動程序已停止。 |
| 5039 | N / A | 低 | 注冊表項已虛擬化。 |
| 5040 | N / A | 低 | 已對IPsec設置進行了更改。添加了身份驗證集。 |
| 5041 | N / A | 低 | 已對IPsec設置進行了更改。身份驗證集已修改。 |
| 5042 | N / A | 低 | 已對IPsec設置進行了更改。身份驗證集已刪除。 |
| 5043 | N / A | 低 | 已對IPsec設置進行了更改。添加了連接安全規則。 |
| 5044 | N / A | 低 | 已對IPsec設置進行了更改。連接安全規則已修改。 |
| 5045 | N / A | 低 | 已對IPsec設置進行了更改。連接安全規則已刪除。 |
| 5046 | N / A | 低 | 已對IPsec設置進行了更改。添加了加密集。 |
| 5047 | N / A | 低 | 已對IPsec設置進行了更改。加密集已被修改。 |
| 5048 | N / A | 低 | 已對IPsec設置進行了更改。加密集已刪除。 |
| 5050 | N / A | 低 | 嘗試使用對InetFwProfile.FirewallEnabled(False)的調用以編程方式禁用Windows防火牆 |
| 5051 | N / A | 低 | 文件已虛擬化。 |
| 5056 | N / A | 低 | 進行了密碼自檢。 |
| 5057 | N / A | 低 | 加密原語操作失敗。 |
| 5058 | N / A | 低 | 密鑰文件操作。 |
| 5059 | N / A | 低 | 密鑰遷移操作。 |
| 5060 | N / A | 低 | 驗證操作失敗。 |
| 5061 | N / A | 低 | 加密操作。 |
| 5062 | N / A | 低 | 進行了內核模式加密自檢。 |
| 5063 | N / A | 低 | 嘗試了加密提供程序操作。 |
| 5064 | N / A | 低 | 嘗試了加密上下文操作。 |
| 5065 | N / A | 低 | 嘗試了加密上下文修改。 |
| 5066 | N / A | 低 | 嘗試了加密功能操作。 |
| 5067 | N / A | 低 | 嘗試了加密功能修改。 |
| 5068 | N / A | 低 | 嘗試了加密函數提供程序操作。 |
| 5069 | N / A | 低 | 嘗試了加密函數屬性操作。 |
| 5070 | N / A | 低 | 嘗試了加密函數屬性修改。 |
| 5125 | N / A | 低 | 請求已提交給OCSP Responder Service |
| 5126 | N / A | 低 | 簽名證書由OCSP Responder Service自動更新 |
| 5127 | N / A | 低 | OCSP吊銷提供商成功更新了吊銷信息 |
| 5136 | 566 | 低 | 目錄服務對象已修改。 |
| 5137 | 566 | 低 | 已創建目錄服務對象。 |
| 5138 | N / A | 低 | 目錄服務對象已取消刪除。 |
| 5139 | N / A | 低 | 已移動目錄服務對象。 |
| 5140 | N / A | 低 | 訪問了網絡共享對象。 |
| 5141 | N / A | 低 | 目錄服務對象已刪除。 |
| 5152 | N / A | 低 | Windows篩選平台阻止了數據包。 |
| 5153 | N / A | 低 | 限制性更強的Windows篩選平台篩選器阻止了數據包。 |
| 5154 | N / A | 低 | Windows過濾平台允許應用程序或服務在端口上偵聽傳入連接。 |
| 5155 | N / A | 低 | Windows篩選平台已阻止應用程序或服務偵聽端口上的傳入連接。 |
| 5156 | N / A | 低 | Windows篩選平台允許連接。 |
| 5157 | N / A | 低 | Windows篩選平台已阻止連接。 |
| 5158 | N / A | 低 | Windows篩選平台允許綁定到本地端口。 |
| 5159 | N / A | 低 | Windows篩選平台已阻止綁定到本地端口。 |
| 5378 | N / A | 低 | 策略不允許請求的憑據委派。 |
| 5440 | N / A | 低 | Windows篩選平台基本篩選引擎啟動時出現以下callout。 |
| 5441 | N / A | 低 | Windows篩選平台基本篩選引擎啟動時存在以下篩選器。 |
| 5442 | N / A | 低 | Windows篩選平台基本篩選引擎啟動時,存在以下提供程序。 |
| 5443 | N / A | 低 | Windows篩選平台基本篩選引擎啟動時,存在以下提供程序上下文。 |
| 5444 | N / A | 低 | Windows篩選平台基本篩選引擎啟動時,存在以下子層。 |
| 5446 | N / A | 低 | Windows篩選平台標注已更改。 |
| 5447 | N / A | 低 | Windows篩選平台篩選器已更改。 |
| 5448 | N / A | 低 | Windows篩選平台提供程序已更改。 |
| 5449 | N / A | 低 | Windows篩選平台提供程序上下文已更改。 |
| 5450 | N / A | 低 | Windows篩選平台子層已更改。 |
| 5451 | N / A | 低 | 建立了IPsec快速模式安全關聯。 |
| 5452 | N / A | 低 | IPsec快速模式安全關聯已結束。 |
| 5456 | N / A | 低 | PAStore引擎在計算機上應用了Active Directory存儲IPsec策略。 |
| 5457 | N / A | 低 | PAStore引擎無法在計算機上應用Active Directory存儲IPsec策略。 |
| 5458 | N / A | 低 | PAStore引擎在計算機上應用了Active Directory存儲IPsec策略的本地緩存副本。 |
| 5459 | N / A | 低 | PAStore引擎無法在計算機上應用Active Directory存儲IPsec策略的本地緩存副本。 |
| 5460 | N / A | 低 | PAStore引擎在計算機上應用了本地注冊表存儲IPsec策略。 |
| 5461 | N / A | 低 | PAStore引擎無法在計算機上應用本地注冊表存儲IPsec策略。 |
| 5462 | N / A | 低 | PAStore引擎無法在計算機上應用某些活動IPsec策略規則。使用IP安全監視器管理單元診斷問題。 |
| 5463 | N / A | 低 | PAStore引擎輪詢活動IPsec策略的更改並檢測不到任何更改。 |
| 5464 | N / A | 低 | PAStore引擎輪詢活動IPsec策略的更改,檢測到更改並將其應用於IPsec服務。 |
| 5465 | N / A | 低 | PAStore Engine收到強制重新加載IPsec策略的控件並成功處理控件。 |
| 5466 | N / A | 低 | PAStore引擎輪詢Active Directory IPsec策略的更改,確定無法訪問Active Directory,並將使用Active Directory IPsec策略的緩存副本。自上次輪詢以來對Active Directory IPsec策略所做的任何更改都無法應用。 |
| 5467 | N / A | 低 | PAStore引擎輪詢Active Directory IPsec策略的更改,確定可以訪問Active Directory,並且未找到對策略的更改。不再使用Active Directory IPsec策略的緩存副本。 |
| 5468 | N / A | 低 | PAStore引擎輪詢Active Directory IPsec策略的更改,確定可以訪問Active Directory,找到策略更改並應用這些更改。不再使用Active Directory IPsec策略的緩存副本。 |
| 5471 | N / A | 低 | PAStore引擎在計算機上加載了本地存儲IPsec策略。 |
| 5472 | N / A | 低 | PAStore引擎無法在計算機上加載本地存儲IPsec策略。 |
| 5473 | N / A | 低 | PAStore引擎在計算機上加載了目錄存儲IPsec策略。 |
| 5474 | N / A | 低 | PAStore引擎無法在計算機上加載目錄存儲IPsec策略。 |
| 5477 | N / A | 低 | PAStore引擎無法添加快速模式過濾器。 |
| 5479 | N / A | 低 | IPsec服務已成功關閉。關閉IPsec服務可能會使計算機面臨更大的網絡攻擊風險或使計算機面臨潛在的安全風險。 |
| 5632 | N / A | 低 | 已請求對無線網絡進行身份驗證。 |
| 5633 | N / A | 低 | 已請求對有線網絡進行身份驗證。 |
| 5712 | N / A | 低 | 嘗試了遠程過程調用(RPC)。 |
| 5888 | N / A | 低 | COM +目錄中的對象已被修改。 |
| 5889 | N / A | 低 | 從COM +目錄中刪除了一個對象。 |
| 5890 | N / A | 低 | 一個對象已添加到COM +目錄中。 |
| 6008 | N / A | 低 | 以前的系統關閉是意外的 |
| 6144 | N / A | 低 | 組策略對象中的安全策略已成功應用。 |
| 6272 | N / A | 低 | 網絡策略服務器授予用戶訪問權限。 |
| N / A | 561 | 低 | 請求了對象的句柄。 |
| N / A | 563 | 低 | 對象打開以進行刪除 |
| N / A | 625 | 低 | 用戶帳戶類型已更改 |
| N / A | 613 | 低 | IPsec策略代理已啟動 |
| N / A | 614 | 低 | 已禁用IPsec策略代理 |
| N / A | 615 | 低 | IPsec策略代理 |
| N / A | 616 | 低 | IPsec策略代理遇到潛在的嚴重故障 |
| 24577 | N / A | 低 | 開始加密卷 |
| 24578 | N / A | 低 | 卷的加密已停止 |
| 24579 | N / A | 低 | 已完成卷的加密 |
| 24580 | N / A | 低 | 開始解密量 |
| 24581 | N / A | 低 | 卷的解密停止了 |
| 24582 | N / A | 低 | 卷的解密完成 |
| 24583 | N / A | 低 | 卷的轉換工作線程已啟動 |
| 24584 | N / A | 低 | 卷的轉換工作線程暫時停止 |
| 24588 | N / A | 低 | 卷%2上的轉換操作遇到錯誤的扇區錯誤。請驗證此卷上的數據 |
| 24595 | N / A | 低 | 卷%2包含錯誤的群集。轉換期間將跳過這些群集。 |
| 24621 | N / A | 低 | 初始狀態檢查:在%2上滾動卷轉換事務。 |
| 5049 | N / A | 低 | IPsec安全關聯已刪除。 |
| 5478 | N / A | 低 | IPsec服務已成功啟動。 |