windows2003中事件檢視器程式碼

1：稽核帳戶登入事件

事件 ID 事件描述
672
已成功頒發和驗證身份驗證服務 (AS) 票證。

Windows Server 2003 安全事件

目標
適用範圍
如何使用本模組
帳戶登入事件
帳戶管理事件
目錄服務訪問事件
稽核登入事件
物件訪問事件
稽核策略更改事件
特權使用事件
詳細的跟蹤事件
稽核系統事件

目標
使用本模組可以實現下列目標：

• 識別由 Microsoft® Windows Server™ 2003 作業系統生成的安全事件。

返回頂部
適用範圍
本模組適用於下列產品和技術：

• Windows Server 2003

返回頂部
如何使用本模組
本模組是“Windows Server 2003 安全指南”的補充內容。本模組中的表可以用作快速參考，以幫助您識別在 Microsoft® Windows 作業系統事件日誌中所記錄的與安全有關的事件。本模組還可以用來幫助配置系統監視軟體，如 Microsoft Operations Manager (MOM)。

返回頂部
帳戶登入事件
表 1 顯示了由“稽核帳戶登入事件”安全模板設定所生成的安全事件。

表 1：稽核帳戶登入事件

事件 ID 事件描述
672
已成功頒發和驗證身份驗證服務 (AS) 票證。

673
授權票證服務 (TGS) 票證已授權。TGS 是由 Kerberos v5 票證授權服務 (TGS) 頒發的票證，允許使用者對域中的特定服務進行身份驗證。

674
安全主體已更新 AS 票證或 TGS 票證。

675
預身份驗證失敗。使用者鍵入錯誤的密碼時，金鑰發行中心 (KDC) 生成此事件。

676
身份驗證票證請求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

677
TGS 票證未被授權。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

678
帳戶已成功對映到域帳戶。

681
登入失敗。嘗試進行域帳戶登入。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。

682
使用者已重新連線至已斷開的終端伺服器會話。

683
使用者未登出就斷開終端伺服器會話。

稽核帳戶管理事件

事件 ID 事件描述
624
使用者帳戶已建立。

627
使用者密碼已更改。

628
使用者密碼已設定。

630
使用者帳戶已刪除。

631
全域性組已建立。

632
成員已新增至全域性組。

633
成員已從全域性組刪除。

634
全域性組已刪除。

635
已新建本地組。

636
成員已新增至本地組。

637
成員已從本地組刪除。

638
本地組已刪除。

639
本地組帳戶已更改。

641
全域性組帳戶已更改。

642
使用者帳戶已更改。

643
域策略已修改。

644
使用者帳戶被自動鎖定。

645
計算機帳戶已建立。

646
計算機帳戶已更改。

647
計算機帳戶已刪除。

648
禁用安全的本地安全組已建立。
注意：從正式名稱上講，SECURITY_DISABLED 意味著該組不能用來授權訪問檢查。

649
禁用安全的本地安全組已更改。

650
成員已新增至禁用安全的本地安全組。

651
成員已從禁用安全的本地安全組刪除。

652
禁用安全的本地組已刪除。

653
禁用安全的全域性組已建立。

654
禁用安全的全域性組已更改。

655
成員已新增至禁用安全的全域性組。

656
成員已從禁用安全的全域性組刪除。

657
禁用安全的全域性組已刪除。

658
啟用安全的通用組已建立。

659
啟用安全的通用組已更改。

660
成員已新增至啟用安全的通用組。

661
成員已從啟用安全的通用組刪除。

662
啟用安全的通用組已刪除。

663
禁用安全的通用組已建立。

664
禁用安全的通用組已更改。

665
成員已新增至禁用安全的通用組。

666
成員已從禁用安全的通用組刪除。

667
禁用安全的通用組已刪除。

668
組型別已更改。

684
管理組成員的安全描述符已設定。
注意： 在域控制器上，每隔 60 分鐘，後臺執行緒就會搜尋管理組的所有成員（如域、企業和架構管理員），並對其應用一個固定的安全描述符。該事件已記錄。

685
帳戶名稱已更改。

稽核登入事件

事件 ID 稽核登入事件
528
使用者成功登入到計算機。

529
登入失敗。試圖使用未知的使用者名稱或已知使用者名稱但錯誤密碼進行登入。

530
登入失敗。試圖在允許的時間外登入。

531
登入失敗。試圖使用禁用的帳戶登入。

532
登入失敗。試圖使用已過期的帳戶登入。

533
登入失敗。不允許登入到指定計算機的使用者試圖登入。

534
登入失敗。使用者試圖使用不允許的密碼型別登入。

535
登入失敗。指定帳戶的密碼已過期。

536
登入失敗。Net Logon 服務沒有啟動。

537
登入失敗。由於其他原因登入嘗試失敗。
注意：在某些情況下，登入失敗的原因可能是未知的。

538
使用者的登出過程已完成。

539
登入失敗。試圖登入時，該帳戶已鎖定。

540
使用者成功登入到網路。

541
本地計算機與列出的對等客戶端身份（已建立安全關聯）之間的主要模式 Internet 金鑰交換 (IKE) 身份驗證已完成，或者快速模式已建立了資料頻道。

542
資料頻道已終止。

543
主要模式已終止。
注意：如果安全關聯的時間限制（預設為 8 小時）過期、策略更改或對等終止，則會發生此情況。

544
由於對等客戶端沒有提供有效的證書或者簽名無效，造成主要模式身份驗證失敗。

545
由於 Kerberos 失敗或者密碼無效，造成主要模式身份驗證失敗。

546
由於對等客戶端傳送的建議無效，造成 IKE 安全關聯建立失敗。接收到的程式包包含無效資料。

547
在 IKE 握手過程中，出現錯誤。

548
登入失敗。來自信任域的安全識別符號 (SID) 與客戶端的帳戶域 SID 不匹配。

549
登入失敗。在林內進行身份驗證時，所有與不受信任的名稱空間相關的 SID 將被篩選出去。

550
可以用來指示可能的拒絕服務 (DoS) 攻擊的通知訊息。

551
使用者已啟動登出過程。

552
使用者使用明確憑據成功登入到作為其他使用者已登入到的計算機。

682
使用者已重新連線至已斷開的終端伺服器會話。

683
使用者還未登出就斷開終端伺服器會話。注意：當使用者透過網路連線到終端伺服器會話時，就會生成此事件。該事件出現在終端伺服器上。

稽核物件訪問事件

事件 ID 事件描述
560
訪問許可權已授予現有的物件。

562
指向物件的控制程式碼已關閉。

563
試圖開啟一個物件並打算將其刪除。
注意：當在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標記時，此事件可以用於檔案系統。

564
受保護物件已刪除。

565
訪問許可權已授予現有的物件型別。

567
使用了與控制程式碼關聯的許可權。
注意：建立控制程式碼時，已授予其具體許可權，如讀取、寫入等。使用控制程式碼時，最多為每個使用的許可權生成一個稽核。

568
試圖建立與正在稽核的檔案的硬連結。

569
授權管理器中的資源管理器試圖建立客戶端上下文。

570
客戶端試圖訪問物件。
注意：在此物件上發生的每個嘗試操作都將生成一個事件。

571
客戶端上下文由授權管理器應用程式刪除。

572
Administrator Manager（管理員管理器）初始化此應用程式。

772
證書管理器已拒絕掛起的證書申請。

773
證書服務已收到重新提交的證書申請。

774
證書服務已吊銷證書。

775
證書服務已收到發行證書吊銷列表 (CRL) 的請求。

776
證書服務已發行 CRL。

777
已制定證書申請擴充套件。

778
已更改多個證書申請屬性。

779
證書服務已收到關機請求。

780
已開始證書服務備份。

781
已完成證書服務備份。

782
已開始證書服務還原。

783
已完成證書服務還原。

784
證書服務已開始。

785
證書服務已停止。

786
已更改證書服務的安全許可權。

787
證書服務已檢索存檔金鑰。

788
證書服務已將證書匯入其資料庫中。

789
證書服務稽核篩選已更改。

790
證書服務已收到證書申請。

791
證書服務已批准證書申請並已頒發證書。

792
證書服務已拒絕證書申請。

793
證書服務將證書申請狀態設為掛起。

794
證書服務的證書管理器設定已更改。

795
證書服務中的配置項已更改。

796
證書服務的屬性已更改。

797
證書服務已將金鑰存檔。

798
證書服務匯入金鑰並將其存檔。

799
證書服務已將證書頒發機構 (CA) 證書發行到 Microsoft Active Directory® 目錄服務。

800
已從證書資料庫刪除一行或多行。

801
角色分離已啟用。

稽核策略更改事件

事件 ID 事件描述
608
已分配使用者許可權。

609
使用者許可權已刪除。

610
與其他域的信任關係已建立。

611
與其他域的信任關係已刪除。

612
稽核策略已更改。

613
Internet 協議安全 (IPSec) 策略代理已啟動。

614
IPSec 策略代理已禁用。

615
IPSec 策略代理已更改。

616
IPSec 策略代理遇到一個可能很嚴重的故障。

617
Kerberos v5 策略已更改。

618
加密資料恢復策略已更改。

620
與其他域的信任關係已修改。

621
已授予帳戶系統訪問許可權。

622
已刪除帳戶的系統訪問許可權。

623
按使用者設定稽核策略。

625
按使用者重新整理稽核策略。

768
檢測到兩個林的名稱空間元素之間有衝突。
注意：當兩個林的名稱空間元素重疊時，解析屬於其中一個名稱空間元素的名稱時，將發生歧義。這種重疊也稱為衝突。並非所有的引數對每一項型別都有效。例如，對於型別為 TopLevelName 的項，有些欄位無效，如 DNS 名稱、NetBIOS 名稱和 SID。

769
已新增受信任的林資訊。
注意：當更新林信任資訊並且新增了一個或多個項時，將生成此事件訊息。為每個新增、刪除或修改的項生成一個事件訊息。如果在林信任資訊的一個更新中新增、刪除或修改了多個項，則為生成的所有事件訊息指派一個唯一識別符號，稱為操作 ID。該識別符號可以用來確定生成的多個事件訊息是一個操作的結果。並非所有的引數對每一項型別都有效。例如，對於型別為 TopLevelName 的項，有些引數是無效的，如 DNS 名稱、NetBIOS 名稱和 SID。

770
已刪除受信任的林資訊。
注意：請參見事件 769 的事件描述。

771
已修改受信任的林資訊。
注意：請參見事件 769 的事件描述。

805
事件日誌服務讀取會話的安全日誌配置。

特權使用事件

事件 ID 事件描述
576
指定的特權已新增到使用者的訪問令牌中。
注意：當使用者登入時生成此事件。

577
使用者試圖執行需要特權的系統服務操作。

578
特權用於已經開啟的受保護物件的控制程式碼。

稽核過程跟蹤事件

事件 ID 事件描述
592
已建立新程式。

593
程式已退出。

594
物件控制程式碼已複製。

595
已獲取物件的間接訪問權。

596
資料保護主金鑰已備份。
注意：主金鑰用於 CryptProtectData 和 CryptUnprotectData 例程以及加密檔案系統 (EFS)。每次新建主金鑰時都進行備份。（預設設定為 90 天。）通常由域控制器備份主金鑰。

597
資料保護主金鑰已從恢復伺服器恢復。

598
稽核過的資料已受保護。

599
稽核過的資料未受保護。

600
已分配給程式主令牌。

601
使用者試圖安裝服務。

602
已建立計劃程式任務。

稽核系統事件

事件 ID 事件描述
512
Windows 正在啟動。

513
Windows 正在關機。

514
本地安全機制機構已載入身份驗證資料包。

515
受信任的登入過程已經在本地安全機構註冊。

516
用來列隊稽核訊息的內部資源已經用完，從而導致部分稽核資料丟失。

517
稽核日誌已清除。

518
安全帳戶管理器已載入通知資料包。

519
程式正在使用無效的本地過程呼叫 (LPC) 埠，試圖偽裝客戶端並向客戶端地址空間答覆、讀取或寫入。

520
系統時間已更改。
注意：在正常情況下，該稽核出現兩次。

[@more@]