Windows安全事件ID
审计帐户登录事件
1 2 3 4 5
| 4776 – 域控制器试图验证帐户凭证信息 4777 – 域控制器未能验证帐户凭证信息 4768 – 要求有Kerberos验证票(TGT) 4769 – 要求有Kerberos验证票(TGT) 4770 – Kerberos服务票被更新
|
审计帐户管理
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
| 4741 – 计算机帐户已创建 4742 – 计算机帐户已更改 4743 – 计算机帐户已删除 4739 – 域政策已经更改 4782 – 密码hash帐户被访问 4727 – 安全全局组已经创建 4728 – 一名用户被添加到安全全局组 4729 – 一名用户从安全全局组解除 4730 – 安全全局组已经删除 4731 – 安全本地组已经创建 4732 – 一名用户被添加到安全本地组 4733 – 一名用户被安全本地组解除 4734 – 安全本地组已经删除 4735 – 安全本地组已经更改 4737 – 安全全局组已经更改 4754 – 安全通用组已创建 4755 – 安全通用组已创建更改 4756 – 一名用户被添加到安全通用组 4757 – 一名用户被安全通用组解除 4758 – 安全本地组已经删除 4720 – 用户帐户已创建 4722 – 用户帐户已启用 4723 – 试图更改帐户密码 4724 – 试图重置帐户密码 4725 – 用户帐户被停用 4726 – 用户帐户已删除 4738 – 用户帐户已被改变 4740 – 用户帐户被锁定 4765 – SID历史记录被添加到一个帐户 4766 – 尝试添加SID历史记录到帐户失败 4767 – 用户帐户被解锁 4780 – 对管理组成员的帐户设置了ACL 4781 – 帐户名称已经更改
|
审计目录服务访问
1 2 3 4 5 6 7 8 9 10
| 4934 – Active Directory 对象的属性被复制 4935 – 复制失败开始 4936 – 复制失败结束 5136 – 目录服务对象已修改 5137 – 目录服务对象已创建 5138 – 目录服务对象已删除 5139 – 目录服务对象已经移动 5141 – 目录服务对象已删除 4932 – 命名上下文的AD的副本同步已经开始 4933 – 命名上下文的AD的副本同步已经结束
|
审计登录事件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
| 4634 – 帐户被注销 4647 – 用户发起注销 4624 – 帐户已成功登录 4625 – 帐户登录失败 4648 – 试图使用明确的凭证登录 4675 – SID被过滤 4649 – 发现重放攻击 4778 – 会话被重新连接到Window Station 4779 – 会话断开连接到Window Station 4800 – 工作站被锁定 4801 – 工作站被解锁 4802 – 屏幕保护程序启用 4803 – 屏幕保护程序被禁用 5378 – 所要求的凭证代表是政策所不允许的 5632 – 要求对无线网络进行验证 5633 – 要求对有线网络进行验证
|
审计对象访问
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| 5140 – 网络共享对象被访问 4664 – 试图创建一个硬链接 4985 – 交易状态已经改变 5051 – 文件已被虚拟化 5031 – Windows防火墙服务阻止一个应用程序接收网络中的入站连接 4698 – 计划任务已创建 4699 – 计划任务已删除 4700 – 计划任务已启用 4701 – 计划任务已停用 4702 – 计划任务已更新 4657 – 注册表值被修改 5039 – 注册表项被虚拟化 4660 – 对象已删除 4663 – 试图访问一个对象
|
审计政策变化
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
| 4715 – 对象上的审计政策(SACL)已经更改 4719 – 系统审计政策已经更改 4902 – Per– user审核政策表已经创建 4906 – CrashOnAuditFail值已经变化 4907 – 对象的审计设置已经更改 4706 – 创建到域的新信任 4707 – 到域的信任已经删除 4713 – Kerberos政策已更改 4716 – 信任域信息已经修改 4717 – 系统安全访问授予帐户 4718 – 系统安全访问从帐户移除 4864 – 名字空间碰撞被删除 4865 – 信任森林信息条目已添加 4866 – 信任森林信息条目已删除 4867 – 信任森林信息条目已取消 4704 – 用户权限已分配 4705 – 用户权限已移除 4714 – 加密数据复原政策已取消 4944 – 当开启Windows Firewall时下列政策启用 4945 – 当开启Windows Firewall时列入一个规则 4946 – 对Windows防火墙例外列表进行了修改,添加规则 4947 – 对Windows防火墙例外列表进行了修改,规则已修改 4948 – 对Windows防火墙例外列表进行了修改,规则已删除 4949 – Windows防火墙设置已恢复到默认值 4950 – Windows防火墙设置已更改 4951 – 因为主要版本号码不被Windows防火墙承认,规则已被忽视 4952 – 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分 4953 – 因为Windows防火墙不能解析规则,规则被忽略 4954 – Windows防火墙组政策设置已经更改,将使用新设置 4956 – Windows防火墙已经更改主动资料 4957 – Windows防火墙不适用于以下规则 4958 – 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则: 6144 – 组策略对象中的安全政策已经成功运用 6145 – 当处理组策略对象中的安全政策时发生一个或者多个错误 4670 – 对象的权限已更改
|
审计特权使用
1 2 3
| 4672 – 给新登录分配特权 4673 – 要求特权服务 4674 – 试图对特权对象尝试操作
|
审计系统事件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
| 5024 – Windows防火墙服务已成功启动 5025 – Windows防火墙服务已经被停止 5027 – Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策 5028 – Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策 5029 – Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策 5030 – Windows防火墙服务无法启动 5032 – Windows防火墙无法通知用户它阻止了接收入站连接的应用程序 5033 – Windows防火墙驱动程序已成功启动 5034 – Windows防火墙驱动程序已经停止 5035 – Windows防火墙驱动程序未能启动 5037 – Windows防火墙驱动程序检测到关键运行错误,终止。 4608 – Windows正在启动 4609 – Windows正在关机 4616 – 系统时间被改变 4621 – 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录 4697 – 系统中安装服务器 4618 – 监测安全事件样式已经发生
|
参考链接
官方文档
Windows安全事件ID详细手册