Windows Server 2016-Windows安全日志ID匯總

ID    安全事件信息
1100    事件記錄服務已關閉
1101    審計事件已被運輸中斷。
1102    審核日志已清除
1104    安全日志現已滿
1105    事件日志自動備份
1108    事件日志記錄服務遇到錯誤
4608    Windows正在啟動
4609    Windows正在關閉
4610    本地安全機構已加載身份驗證包
4611    已向本地安全機構注冊了受信任的登錄進程
4612    為審計消息排隊分配的內部資源已經用盡，導致一些審計丟失。
4614    安全帳戶管理器已加載通知包。
4615    LPC端口使用無效
4616    系統時間已更改。
4618    已發生受監視的安全事件模式
4621    管理員從CrashOnAuditFail恢復了系統
4622    本地安全機構已加載安全包。
4624    帳戶已成功登錄
4625    帳戶無法登錄
4626    用戶/設備聲明信息
4627    集團會員信息。
4634    帳戶已注銷
4646    IKE
DoS防護模式已啟動
4647    用戶啟動了注銷
4648    使用顯式憑據嘗試登錄
4649    檢測到重播***
4650    建立了IPsec主模式安全關聯
4651    建立了IPsec主模式安全關聯
4652    IPsec主模式協商失敗
4653    IPsec主模式協商失敗
4654    IPsec快速模式協商失敗
4655    IPsec主模式安全關聯已結束
4656    請求了對象的句柄
4657    注冊表值已修改
4658    對象的句柄已關閉
4659    請求刪除對象的句柄
4660    對象已刪除
4661    請求了對象的句柄
4662    對對象執行了操作
4663    嘗試訪問對象
4664    試圖創建一個硬鏈接
4665    嘗試創建應用程序客戶端上下文。
4666    應用程序嘗試了一個操作
4667    應用程序客戶端上下文已刪除
4668    應用程序已初始化
4670    對象的權限已更改
4671    應用程序試圖通過TBS訪問被阻止的序號
4672    分配給新登錄的特權
4673    特權服務被召喚
4674    嘗試對特權對象執行操作
4675    SID被過濾掉了
4688    已經創建了一個新流程
4689    一個過程已經退出
4690    嘗試復制對象的句柄
4691    請求間接訪問對象
4692    嘗試備份數據保護主密鑰
4693    嘗試恢復數據保護主密鑰
4694    試圖保護可審計的受保護數據
4695    嘗試不受保護的可審計受保護數據
4696    主要令牌已分配給進程
4697    系統中安裝了一項服務
4698    已創建計划任務
4699    計划任務已刪除
4700    已啟用計划任務
4701    計划任務已禁用
4702    計划任務已更新
4703    令牌權已經調整
4704    已分配用戶權限
4705    用戶權限已被刪除
4706    為域創建了新的信任
4707    已刪除對域的信任
4709    IPsec服務已啟動
4710    IPsec服務已禁用
4711    PAStore引擎（1％）
4712    IPsec服務遇到了潛在的嚴重故障
4713    Kerberos策略已更改
4714    加密數據恢復策略已更改
4715    對象的審核策略（SACL）已更改
4716    可信域信息已被修改
4717    系統安全訪問權限已授予帳戶
4718    系統安全訪問已從帳戶中刪除
4719    系統審核策略已更改
4720    已創建用戶帳戶
4722    用戶帳戶已啟用
4723    嘗試更改帳戶的密碼
4724    嘗試重置帳戶密碼
4725    用戶帳戶已被禁用
4726    用戶帳戶已刪除
4727    已創建啟用安全性的全局組
4728    已將成員添加到啟用安全性的全局組中
4729    成員已從啟用安全性的全局組中刪除
4730    已刪除啟用安全性的全局組
4731    已創建啟用安全性的本地組
4732    已將成員添加到啟用安全性的本地組
4733    成員已從啟用安全性的本地組中刪除
4734    已刪除已啟用安全性的本地組
4735    已啟用安全性的本地組已更改
4737    啟用安全性的全局組已更改
4738    用戶帳戶已更改
4739    域策略已更改
4740    用戶帳戶已被鎖定
4741    已創建計算機帳戶
4742    計算機帳戶已更改
4743    計算機帳戶已刪除
4744    已創建禁用安全性的本地組
4745    已禁用安全性的本地組已更改
4746    已將成員添加到已禁用安全性的本地組
4747    已從安全性已禁用的本地組中刪除成員
4748    已刪除安全性已禁用的本地組
4749    已創建一個禁用安全性的全局組
4750    已禁用安全性的全局組已更改
4751    已將成員添加到已禁用安全性的全局組中
4752    成員已從禁用安全性的全局組中刪除
4753    已刪除安全性已禁用的全局組
4754    已創建啟用安全性的通用組
4755    啟用安全性的通用組已更改
4756    已將成員添加到啟用安全性的通用組中
4757    成員已從啟用安全性的通用組中刪除
4758    已刪除啟用安全性的通用組
4759    創建了一個安全禁用的通用組
4760    安全性已禁用的通用組已更改
4761    已將成員添加到已禁用安全性的通用組中
4762    成員已從禁用安全性的通用組中刪除
4763    已刪除安全性已禁用的通用組
4764    組類型已更改
4765    SID歷史記錄已添加到帳戶中
4766    嘗試將SID歷史記錄添加到帳戶失敗
4767    用戶帳戶已解鎖
4768    請求了Kerberos身份驗證票證（TGT）
4769    請求了Kerberos服務票證
4770    更新了Kerberos服務票證
4771    Kerberos預身份驗證失敗
4772    Kerberos身份驗證票證請求失敗
4773    Kerberos服務票證請求失敗
4774    已映射帳戶以進行登錄
4775    無法映射帳戶以進行登錄
4776    域控制器嘗試驗證帳戶的憑據
4777    域控制器無法驗證帳戶的憑據
4778    會話重新連接到Window
Station
4779    會話已與Window
Station斷開連接
4780    ACL是在作為管理員組成員的帳戶上設置的
4781    帳戶名稱已更改
4782    密碼哈希帳戶被訪問
4783    創建了一個基本應用程序組
4784    基本應用程序組已更改
4785    成員已添加到基本應用程序組
4786    成員已從基本應用程序組中刪除
4787    非成員已添加到基本應用程序組
4788    從基本應用程序組中刪除了非成員。
4789    基本應用程序組已刪除
4790    已創建LDAP查詢組
4791    基本應用程序組已更改
4792    LDAP查詢組已刪除
4793    密碼策略檢查API已被調用
4794    嘗試設置目錄服務還原模式管理員密碼
4797    試圖查詢帳戶是否存在空白密碼
4798    枚舉了用戶的本地組成員身份。
4799    已枚舉啟用安全性的本地組成員身份
4800    工作站已鎖定
4801    工作站已解鎖
4802    屏幕保護程序被調用
4803    屏幕保護程序被解雇了
4816    RPC在解密傳入消息時檢測到完整性違規
4817    對象的審核設置已更改。
4818    建議的中央訪問策略不授予與當前中央訪問策略相同的訪問權限
4819    計算機上的中央訪問策略已更改
4820    Kerberos票證授予票證（TGT）被拒絕，因為該設備不符合訪問控制限制
4821    Kerberos服務票證被拒絕，因為用戶，設備或兩者都不符合訪問控制限制
4822    NTLM身份驗證失敗，因為該帳戶是受保護用戶組的成員
4823    NTLM身份驗證失敗，因為需要訪問控制限制
4824    使用DES或RC4進行Kerberos預身份驗證失敗，因為該帳戶是受保護用戶組的成員
4825    用戶被拒絕訪問遠程桌面。默認情況下，僅當用戶是Remote
Desktop Users組或Administrators組的成員時才允許用戶進行連接
4826    加載引導配置數據
4830    SID歷史記錄已從帳戶中刪除
4864    檢測到名稱空間沖突
4865    添加了受信任的林信息條目
4866    已刪除受信任的林信息條目
4867    已修改受信任的林信息條目
4868    證書管理器拒絕了掛起的證書請求
4869    證書服務收到重新提交的證書請求
4870    證書服務撤銷了證書
4871    證書服務收到發布證書吊銷列表（CRL）的請求
4872    證書服務發布證書吊銷列表（CRL）
4873    證書申請延期已更改
4874    一個或多個證書請求屬性已更改。
4875    證書服務收到關閉請求
4876    證書服務備份已啟動
4877    證書服務備份已完成
4878    證書服務還原已開始
4879    證書服務恢復已完成
4880    證書服務已啟動
4881    證書服務已停止
4882    證書服務的安全權限已更改
4883    證書服務檢索到存檔密鑰
4884    證書服務將證書導入其數據庫
4885    證書服務的審核篩選器已更改
4886    證書服務收到證書請求
4887    證書服務批准了證書請求並頒發了證書
4888    證書服務拒絕了證書請求
4889    證書服務將證書請求的狀態設置為掛起
4890    證書服務的證書管理器設置已更改。
4891    證書服務中的配置條目已更改
4892    證書服務的屬性已更改
4893    證書服務存檔密鑰
4894    證書服務導入並存檔了一個密鑰
4895    證書服務將CA證書發布到Active
Directory域服務
4896    已從證書數據庫中刪除一行或多行
4897    啟用角色分離
4898    證書服務加載了一個模板
4899    證書服務模板已更新
4900    證書服務模板安全性已更新
4902    已創建每用戶審核策略表
4904    嘗試注冊安全事件源
4905    嘗試取消注冊安全事件源
4906    CrashOnAuditFail值已更改
4907    對象的審核設置已更改
4908    特殊組登錄表已修改
4909    TBS的本地策略設置已更改
4910    TBS的組策略設置已更改
4911    對象的資源屬性已更改
4912    每用戶審核策略已更改
4913    對象的中央訪問策略已更改
4928    建立了Active
Directory副本源命名上下文
4929    已刪除Active
Directory副本源命名上下文
4930    已修改Active
Directory副本源命名上下文
4931    已修改Active
Directory副本目標命名上下文
4932    已開始同步Active
Directory命名上下文的副本
4933    Active
Directory命名上下文的副本的同步已結束
4934    已復制Active
Directory對象的屬性
4935    復制失敗開始
4936    復制失敗結束
4937    從副本中刪除了一個延遲對象
4944    Windows防火牆啟動時，以下策略處於活動狀態
4945    Windows防火牆啟動時列出了規則
4946    已對Windows防火牆例外列表進行了更改。增加了一條規則
4947    已對Windows防火牆例外列表進行了更改。規則被修改了
4948    已對Windows防火牆例外列表進行了更改。規則已刪除
4949    Windows防火牆設置已恢復為默認值
4950    Windows防火牆設置已更改
4951    規則已被忽略，因為Windows防火牆無法識別其主要版本號
4952    已忽略規則的某些部分，因為Windows防火牆無法識別其次要版本號
4953    Windows防火牆已忽略規則，因為它無法解析規則
4954    Windows防火牆組策略設置已更改。已應用新設置
4956    Windows防火牆已更改活動配置文件
4957    Windows防火牆未應用以下規則
4958    Windows防火牆未應用以下規則，因為該規則引用了此計算機上未配置的項目
4960    IPsec丟棄了未通過完整性檢查的入站數據包
4961    IPsec丟棄了重放檢查失敗的入站數據包
4962    IPsec丟棄了重放檢查失敗的入站數據包
4963    IPsec丟棄了應該受到保護的入站明文數據包
4964    特殊組已分配給新登錄
4965    IPsec從遠程計算機收到一個包含不正確的安全參數索引（SPI）的數據包。
4976    在主模式協商期間，IPsec收到無效的協商數據包。
4977    在快速模式協商期間，IPsec收到無效的協商數據包。
4978    在擴展模式協商期間，IPsec收到無效的協商數據包。
4979    建立了IPsec主模式和擴展模式安全關聯。
4980    建立了IPsec主模式和擴展模式安全關聯
4981    建立了IPsec主模式和擴展模式安全關聯
4982    建立了IPsec主模式和擴展模式安全關聯
4983    IPsec擴展模式協商失敗
4984    IPsec擴展模式協商失敗
4985    交易狀態已發生變化
5024    Windows防火牆服務已成功啟動
5025    Windows防火牆服務已停止
5027    Windows防火牆服務無法從本地存儲中檢索安全策略
5028    Windows防火牆服務無法解析新的安全策略。
5029    Windows防火牆服務無法初始化驅動程序
5030    Windows防火牆服務無法啟動
5031    Windows防火牆服務阻止應用程序接受網絡上的傳入連接。
5032    Windows防火牆無法通知用戶它阻止應用程序接受網絡上的傳入連接
5033    Windows防火牆驅動程序已成功啟動
5034    Windows防火牆驅動程序已停止
5035    Windows防火牆驅動程序無法啟動
5037    Windows防火牆驅動程序檢測到嚴重的運行時錯 終止
5038    代碼完整性確定文件的圖像哈希無效
5039    注冊表項已虛擬化。
5040    已對IPsec設置進行了更改。添加了身份驗證集。
5041    已對IPsec設置進行了更改。身份驗證集已修改
5042    已對IPsec設置進行了更改。身份驗證集已刪除
5043    已對IPsec設置進行了更改。添加了連接安全規則
5044    已對IPsec設置進行了更改。連接安全規則已修改
5045    已對IPsec設置進行了更改。連接安全規則已刪除
5046    已對IPsec設置進行了更改。添加了加密集
5047    已對IPsec設置進行了更改。加密集已被修改
5048    已對IPsec設置進行了更改。加密集已刪除
5049    IPsec安全關聯已刪除
5050    嘗試使用對INetFwProfile.FirewallEnabled的調用以編程方式禁用Windows防火牆（FALSE
5051    文件已虛擬化
5056    進行了密碼自檢
5057    加密原語操作失敗
5058    密鑰文件操作
5059    密鑰遷移操作
5060    驗證操作失敗
5061    加密操作
5062    進行了內核模式加密自檢
5063    嘗試了加密提供程序操作
5064    嘗試了加密上下文操作
5065    嘗試了加密上下文修改
5066    嘗試了加密功能操作
5067    嘗試了加密功能修改
5068    嘗試了加密函數提供程序操作
5069    嘗試了加密函數屬性操作
5070    嘗試了加密函數屬性操作
5071    Microsoft密鑰分發服務拒絕密鑰訪問
5120    OCSP響應程序服務已啟動
5121    OCSP響應程序服務已停止
5122    OCSP響應程序服務中的配置條目已更改
5123    OCSP響應程序服務中的配置條目已更改
5124    在OCSP
Responder Service上更新了安全設置
5125    請求已提交給OCSP
Responder Service
5126    簽名證書由OCSP
Responder Service自動更新
5127    OCSP吊銷提供商成功更新了吊銷信息
5136    目錄服務對象已修改
5137    已創建目錄服務對象
5138    目錄服務對象已取消刪除
5139    已移動目錄服務對象
5140    訪問了網絡共享對象
5141    目錄服務對象已刪除
5142    添加了網絡共享對象。
5143    網絡共享對象已被修改
5144    網絡共享對象已刪除。
5145    檢查網絡共享對象以查看是否可以向客戶端授予所需的訪問權限
5146    Windows篩選平台已阻止數據包
5147    限制性更強的Windows篩選平台篩選器阻止了數據包
5148    Windows過濾平台檢測到DoS***並進入防御模式; 與此***相關的數據包將被丟棄。
5149    DoS***已經消退，正常處理正在恢復。
5150    Windows篩選平台已阻止數據包。
5151    限制性更強的Windows篩選平台篩選器阻止了數據包。
5152    Windows篩選平台阻止了數據包
5153    限制性更強的Windows篩選平台篩選器阻止了數據包
5154    Windows過濾平台允許應用程序或服務在端口上偵聽傳入連接
5155    Windows篩選平台已阻止應用程序或服務偵聽端口上的傳入連接
5156    Windows篩選平台允許連接
5157    Windows篩選平台已阻止連接
5158    Windows篩選平台允許綁定到本地端口
5159    Windows篩選平台已阻止綁定到本地端口
5168    SMB
/ SMB2的Spn檢查失敗。
5169    目錄服務對象已修改
5170    在后台清理任務期間修改了目錄服務對象
5376    已備份憑據管理器憑據
5377    Credential
Manager憑據已從備份還原
5378    策略不允許請求的憑據委派
5440    Windows篩選平台基本篩選引擎啟動時出現以下callout
5441    Windows篩選平台基本篩選引擎啟動時存在以下篩選器
5442    Windows篩選平台基本篩選引擎啟動時，存在以下提供程序
5443    Windows篩選平台基本篩選引擎啟動時，存在以下提供程序上下文
5444    Windows篩選平台基本篩選引擎啟動時，存在以下子層
5446    Windows篩選平台標注已更改
5447    Windows篩選平台篩選器已更改
5448    Windows篩選平台提供程序已更改
5449    Windows篩選平台提供程序上下文已更改
5450    Windows篩選平台子層已更改
5451    建立了IPsec快速模式安全關聯
5452    IPsec快速模式安全關聯已結束
5453    與遠程計算機的IPsec協商失敗，因為未啟動IKE和AuthIP
IPsec密鑰模塊（IKEEXT）服務
5456    PAStore引擎在計算機上應用了Active
Directory存儲IPsec策略
5457    PAStore引擎無法在計算機上應用Active
Directory存儲IPsec策略
5458    PAStore引擎在計算機上應用了Active
Directory存儲IPsec策略的本地緩存副本
5459    PAStore引擎無法在計算機上應用Active
Directory存儲IPsec策略的本地緩存副本
5460    PAStore引擎在計算機上應用了本地注冊表存儲IPsec策略
5461    PAStore引擎無法在計算機上應用本地注冊表存儲IPsec策略
5462    PAStore引擎無法在計算機上應用某些活動IPsec策略規則
5463    PAStore引擎輪詢活動IPsec策略的更改並檢測不到任何更改
5464    PAStore引擎輪詢活動IPsec策略的更改，檢測到更改並將其應用於IPsec服務
5465    PAStore Engine收到強制重新加載IPsec策略的控件並成功處理控件
5466    PAStore引擎輪詢Active Directory IPsec策略的更改，確定無法訪問Active Directory，並將使用Active Directory IPsec策略的緩存副本
5467    PAStore引擎輪詢Active Directory IPsec策略的更改，確定可以訪問Active Directory，並且未找到對策略的更改
5468    PAStore引擎輪詢Active Directory IPsec策略的更改，確定可以訪問Active Directory，找到策略更改並應用這些更改
5471    PAStore引擎在計算機上加載了本地存儲IPsec策略
5472    PAStore引擎無法在計算機上加載本地存儲IPsec策略
5473    PAStore引擎在計算機上加載了目錄存儲IPsec策略
5474    PAStore引擎無法在計算機上加載目錄存儲IPsec策略
5477    PAStore引擎無法添加快速模式過濾器
5478    IPsec服務已成功啟動
5479    IPsec服務已成功關閉
5480    IPsec服務無法獲取計算機上的完整網絡接口列表
5483    IPsec服務無法初始化RPC服務器。無法啟動IPsec服務
5484    IPsec服務遇到嚴重故障並已關閉
5485    IPsec服務無法在網絡接口的即插即用事件上處理某些IPsec篩選器
5632    已請求對無線網絡進行身份驗證
5633    已請求對有線網絡進行身份驗證
5712    嘗試了遠程過程調用（RPC）
5888    COM
+目錄中的對象已被修改
5889    從COM
+目錄中刪除了一個對象
5890    一個對象已添加到COM
+目錄中
6144    組策略對象中的安全策略已成功應用
6145    處理組策略對象中的安全策略時發生一個或多個錯誤
6272    網絡策略服務器授予用戶訪問權限
6273    網絡策略服務器拒絕訪問用戶
6274    網絡策略服務器放棄了對用戶的請求
6275    網絡策略服務器放棄了用戶的記帳請求
6276    網絡策略服務器隔離了用戶
6277    網絡策略服務器授予用戶訪問權限，但由於主機未滿足定義的健康策略而將其置於試用期
6278    網絡策略服務器授予用戶完全訪問權限，因為主機符合定義的健康策略
6279    由於重復失敗的身份驗證嘗試，網絡策略服務器鎖定了用戶帳戶
6280    網絡策略服務器解鎖了用戶帳戶
6281    代碼完整性確定圖像文件的頁面哈希值無效...
6400    BranchCache：在發現內容可用性時收到格式錯誤的響應。
6401    BranchCache：從對等方收到無效數據。數據被丟棄。
6402    BranchCache：提供數據的托管緩存的消息格式不正確。
6403    BranchCache：托管緩存發送了對客戶端消息的錯誤格式化響應以提供數據。
6404    BranchCache：無法使用配置的SSL證書對托管緩存進行身份驗證。
6405    BranchCache：發生了事件ID％1的％2個實例。
6406    ％1注冊到Windows防火牆以控制以下過濾：
6407    1%
6408    已注冊的產品％1失敗，Windows防火牆現在正在控制％2的過濾。
6409    BranchCache：無法解析服務連接點對象
6410    代碼完整性確定文件不滿足加載到進程中的安全性要求。這可能是由於使用共享部分或其他問題
6416    系統識別出新的外部設備。
6417    FIPS模式加密自檢成功
6418    FIPS模式加密自檢失敗
6419    發出了禁用設備的請求
6420    設備已禁用
6421    已發出請求以啟用設備
6422    設備已啟用
6423    系統策略禁止安裝此設備
6424    在事先被政策禁止之后，允許安裝此設備
8191    最高系統定義的審計消息值