下载文档原格式
事件查看器日志详解●帐号登录事件(事件编号与描述)672 身份验证服务(AS)票证得到成功发行与验证。
673 票证授权服务(TGS)票证得到授权。
TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建AS票证或TGS票证。
675 预身份验证失败。
这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。
676 身份验证票证请求失败。
这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
677 TGS票证无法得到授权。
这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。
域帐号尝试进行登录。
这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。
●帐号管理事件624 一个用户帐号被创建。
627 一个用户密码被修改。
628 一个用户密码被设置。
630 一个用户密码被删除。
631 一个全局组被创建。
632 一个成员被添加到特定全局组中。
633 一个成员从特定全局组中被删除。
634 一个全局组被删除。
635 一个新的本地组被创建。
636 一个成员被添加到本地组中。
637 一个成员从本地组中被删除。
638 一个本地组被删除。
639 一个本地组帐号被修改。
641 一个全局组帐号被修改。
642 一个用户帐号被修改。
643 一个域策略被修改。
644 一个用户帐号被自动锁定。
645 一个计算机帐号被创建。
646 一个计算机帐号被修改。
647 一个计算机帐号被删除。
648 一个禁用安全特性的本地安全组被创建。
Windows事件查看器事件代码详解2000 无效的像素格式。
2001 指定的驱动程序无效。
2002 窗口样式或类别属性对此操作无效。
2003 不支持请求的图元操作。
2004 不支持请求的变换操作。
2005 不支持请求的剪切操作。
2010 指定的颜色管理模块无效。
2011 制定的颜色文件配置无效。
2012 找不到指定的标识。
2013 找不到所需的标识。
2014 指定的标识已经存在。
2015 指定的颜色文件配置与任何设备都不相关。
2016 找不到该指定的颜色文件配置2017 指定的颜色空间无效。
2018 图像颜色管理没有启动。
2019 在删除该颜色传输时有一个错误。
2020 该指定的颜色传输无效。
2021 该指定的变换与位图的颜色空间不匹配。
2022 该指定的命名颜色索引在配置文件中不存在。
2102 没有安装工作站驱动程序。
2103 无法定位服务器。
2104 发生内部错误,网络无法访问共享内存段。
2105 网络资源不足。
2106 工作站不支持该操作。
2107 设备没有连接。
2108 网络连接已成功,但需要提示用户输入一个不同于原始指定的密码。
2109 使用默认凭据成功连接网络。
2114 没有启动服务器服务。
2115 队列空。
2116 设备或目录不存在。
2117 无法在重定向的资源上执行此操作。
2118 名称已经共享。
2119 服务器目前无法提供所需的资源。
2121 额外请求的项目超过允许的上限。
2122 对等服务只支持两个同时操作的用户。
2123 API 返回的缓冲区太小。
2127 远程 API 错误。
2131 打开或读取配置文件时出错。
2136 发生一般网络错误。
2137 工作站服务的状态不一致。
重新启动工作站服务之前,请先重新启动计算机。
2138 工作站服务没有启动。
2139 所需信息不可用。
2140 发生 Windows 2000 内部错误。
2141 服务器没有配置事务处理。
2142 远程服务器不支持请求的 API。
事件查看器如何使用2.跟踪事件:事件查看器提供了一个界面,用于跟踪和查看所有已创建的事件。
用户可以通过、过滤和排序等功能,方便地找到特定事件或查看特定时间范围内的所有事件。
通过事件跟踪功能,用户可以了解事件的当前状态、处理进度和相关人员。
4.分配任务:有些事件可能需要多个人协同处理,事件查看器提供了分配任务的功能,用户可以将特定任务关联到特定的人员或小组,并设置截止日期和优先级等相关信息。
通过任务分配功能,用户可以实时监控任务的执行情况,并及时协调和调整工作流程。
5.记录进展:在事件的处理过程中,用户需要记录和更新事件的进展情况。
事件查看器可以提供一个便捷的界面,供用户随时记录事件的最新进展,包括任务的完成情况、关键决策和相关沟通等。
这些记录可以作为事件处理过程的参考和交流的依据,方便各方共同跟踪和了解事件的动态。
6.统计分析:事件查看器通常会提供一些统计和分析功能,帮助用户更好地评估和分析事件的数据。
用户可以根据特定的维度和指标,生成各种图表和报告,以便于对事件进行深入分析和洞察。
通过统计分析功能,用户可以快速了解事件的趋势、问题和改善机会等,并做出有针对性的决策。
7.通知提醒:事件查看器通常支持用户设置提醒和通知功能,帮助用户及时了解事件的状态和进展。
用户可以根据自己的需求,设置不同类型的通知方式,如邮件、短信或应用内通知等。
通过通知提醒功能,用户可以及时获取事件的最新信息,以便于做出及时的决策和行动。
总的来说,事件查看器可以提供一个集中管理和跟踪事件的平台,帮助用户更好地了解和处理各种事件。
用户可以通过创建事件、跟踪事件、添加附件、分配任务、记录进展、统计分析和通知提醒等功能,提高事件管理的效率和质量,从而更好地应对各种事件和挑战。
Windows 事件查看器(Event Viewer) 检查日志的方法
【来源:小鸟云计算】
Ps.小鸟云,国内专业的云计算服务商
Windows 系统下用户有时会遇到主机自动重启,资源异常,应用程序错误等现象,可以使用操作系统自带的事件查看器检查对应的事件进行排查。
事件查看器
点击“计算机”—右键“管理”–打开服务器管理—诊断—事件查看器—windows 日志;如下
Windows日志
Windows日志中比较常查看的有系统日志、应用程序、安全日志这三个日志内容;
系统日志:一般记录系统异常引起的事件。
比如系统更新,内存资源不足等,在系统日志中都可以查看到。
带有“!”标示的是警告,一般不会严重影响使用,但比如“内存资源不足”等事件,多次警告,可能会导致主机卡慢或假死的
现象;
2.应用程序:一般记录服务器上安装的一些应用程序或系统默认程序的事件。
比如您的主机安装的站点服务,mysql ,PHP ,IIS 等相关的应用程序的事件记录;如
3.安全日志:一般记录服务器的登陆信息,或一些策略的审核事件;比如远程登录,如果是正常的登陆,会显示审核成功,如果是异常的,比如密码错误等,就会提示“审核失败”比如:
应用程序和服务日志
该路径包含Windows系统其它各类重要服务组件的事件日志。
例如,在路径Microsoft -> Windows ->TerminalServices-LocalSessionManager 的Operational 日志中记录了用户远程桌面的访问日志,可以通过该日志定位远程登录的相关问题。
windows事件id及解释大全Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。
在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。
日志路径:C:\Windows\System32\winevt\Logs查看日志:Security.evtx、System.evtx、Application.evtx常用安全事件ID:系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
安全:4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
————————————————EVENT_ID安全事件信息1100-----事件记录服务已关闭1101-----审计事件已被运输中断。
1102-----审核日志已清除1104-----安全日志现已满1105-----事件日志自动备份1108-----事件日志记录服务遇到错误4608-----Windows正在启动4609-----Windows正在关闭4610-----本地安全机构已加载身份验证包4611-----已向本地安全机构注册了受信任的登录进程4612-----为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
4614-----安全帐户管理器已加载通知包。
Windows系统的事件查看器是Windows 2000/XP中提供的一个系统安全监视工具。
在事件查看器中,可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视Windows系统安全。
它不但可以查看系统运行日志文件,而且还可以查看事件类型,使用事件日志来解决系统故障。
在启动Windows 2000系统的同时,事件日志服务会自动启动,所有用户都可以查看应用程序日志和系统日志,但只有管理员才能访问安全日志。
如何找到事件查看器?点击“开始→设置→控制面板”,点击“管理工具”。
然后双击“事件查看器”。
现在,你就可以看到事件查看器的界面了(图1)。
图1(点击放大)事件查看器都记录什么信息?事件查看器根据来源将日志记录事件分为应用程序日志(Application)、安全日志(Security)和系统日志(System)。
在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。
系统日志中存放了Windows操作系统产生的信息、警告或错误。
通过查看这些信息、警告或错误,我们不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。
通过查看这些信息,我们可以了解到这些安全审核结果为成功还是失败,可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件。
比如创建、打开或删除文件,启动时某个驱动程序加载失败。
同时,管理员还可以指定在安全日志中记录的事件,比如如果启用了登录审核,那么系统登录尝试就记录在安全日志中。
应用程序日志中存放应用程序产生的信息、警告或错误。
通过查看这些信息、警告或错误,我们可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。
程序开发人员可以利用这些资源来改善应用程序。
另外,事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。
错误:重要的问题,如数据丢失或功能丧失。
例如在启动期间系统服务加载失败、磁盘检测错误等,这时系统就会自动记录错误。
服务器事件查看器事件查看器能看些什么事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视的安全事件提示:除了可以在“控制面板->管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中手工键入“%systemroot%\system32\eventvwr. msc/s”打开事件查看器窗口。
1.应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。
如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于您解决问题。
2,安全性日志记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。
默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
3,系统日志包含Windowsxp的系统组件记录的事件,例如:在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。
这里有一个非常重要的事件:6006,如果你在某一天的事件查看器中没有发现ID为6006的事件,那么说明计算机在当天未正常关机,双击打开“事件厲性”窗口,如果看到手描述为“事件日志服务已停止”,说明这里的“时间”是指计算机正常关机的时间。
如果机子被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;当启动Windows 时,“事件日志”服务(Eventlog)会自动启动,所有用户都可以查看应用稈序和系统日志,但只有管理员才能访问安全性日志。
小日志包含大信息大家可千万别轻视这些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔细分析,肯定可以在这里找到很多有用的信息,这样会有助于你解决系统错误。
详解xp系统下的事件查看器
导读:事件查看器?很多用户对这个很陌生,其实在每一款windows系统中都有自带这个小工具,通过事件查看器的事件日志,我们可以获取很多系统信息,也可以随时监控计算机,诊断系统问题根源,及预测潜在系统问题,是保障系统安全的一个很不错的工具。
第一:事件查看器怎么打开?
要打开事件查看器,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,单击“事件查看器”。
应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。
事件查看器——查看计算机产生的日志1、事件查看器可查看的日志的类型:应用程序日志包含应用程序或系统程序记录的事件。
例如:IIS程序、系统备份程序(ntbackup)的相关事件。
安全性日志记录诸如有效或无效的登录尝试等事件,以及记录与资源使用相关的的事件,如:创建、打开或删除文件或其他对象。
例如用户登录审核或对象访问的信息。
系统日志包含windows系统组件记录的事件。
例如:远程访问(RA)、群集服务等。
在域环境增加3种服务:目录服务DNS服务文件复制服务2、事件查看器可查看的事件类型:错误重要的问题,如数据丢失或功能丧失。
例如,启动过程中某个服务加载失败,将会记录“错误”。
警告虽然不一定很重要,但将来有可能导致问题事件。
例如,当磁盘空间不够时,将会记录“警告”。
信息描述了应用程序、驱动程序或服务的成功操作的事件。
成功审核任何成功的已审核的安全事件。
例如,用户登录系统成功会被作为“成功审核”事件记录下来。
失败审核任何失败的已审核的安全事件。
例如,如果用户试图访问网络驱动器并失败,则该尝试将会作为“失败审核”事件被记录。
3、打开事件查看器“管理工具”→“事件查看器”4、保存日志文件在“时间查看器”窗口→点击要保存的日志类型→选择“操作”菜单→选择“另存日志文件”。
5、打开保存的日志文件在“时间查看器”窗口→选择“操作”菜单→选择“打开日志文件”。
6、远程查看另一台计算机的日志在“时间查看器”窗口→右击“时间查看器(本地)”菜单→选择“连接到另一台计算机”。
7、使用筛选器来查看特定日志在“时间查看器”窗口→右击要设置的日志类型→选择“属性”→选择“筛选器”选项卡。
Windows事件ID及解释大全0 操作成功完成1 函数不正确2 系统找不到指定的文件3 系统找不到指定的路径4 系统无法打开文件5 拒绝访问6 句柄无效7存储控制块被损坏8 存储空间不足,无法处理此命令9 存储控制块地址无效10 环境不正确11 试图加载格式不正确的程序12 访问码无效13 数据无效14 存储空间不足,无法完成此操作15 系统找不到指定的驱动器16 无法删除目录17 系统无法将文件移到不同的驱动器18 没有更多文件19 介质受写入保护20 系统找不到指定的设备21 设备未就绪22 设备不识别此命令23 数据错误(循环冗余检查)24程序发出命令,但命令长度不正确25 驱动器找不到磁盘上特定区域或磁道26 无法访问指定的磁盘或软盘27 驱动器找不到请求的扇区28 打印机缺纸29 系统无法写入指定的设备30 系统无法从指定的设备上读取31 连到系统上的设备没有发挥作用。
32 另一个程序正在使用此文件,进程无法访问33 另一个程序已锁定文件的一部分,进程无法访问36 用来共享的打开文件过多38 已到文件结尾39 磁盘已满50 不支持请求51 Windows 无法找到网络路径。
请确认网络路径正确并且目标计算机不忙或已关闭。
如果Windows 仍然无法找到网络路径,请与网络管理员联系52 由于网络上有重名,没有连接。
请到“控制面板”中的“系统”更改计算机名,然后重试53 找不到网络路径54 网络很忙55 指定的网络资源或设备不再可用56 已达到网络BIOS 命令限制57 网络适配器硬件出错58 指定的服务器无法运行请求的操作59 出现了意外的网络错误60 远程适配器不兼容61 打印机队列已满62 服务器上没有储存等待打印的文件的空间63 已删除等候打印的文件64 指定的网络名不再可用65 拒绝网络访问66 网络资源类型不对67 找不到网络名68 超出本地计算机网络适配器卡的名称限制69 超出了网络BIOS 会话限制70 远程服务器已暂停,或正在启动过程中71 已达到计算机的连接数最大值,无法再同此远程计算机连接72 已暂停指定的打印机或磁盘设备80 文件存在82 无法创建目录或文件83 INT 24 上的故障84 无法取得处理此请求的存储空间85 本地设备名已在使用中86 指定的网络密码不正确87 参数不正确88 网络上发生写入错误89 系统无法在此时启动另一个进程100 无法创建另一个系统信号灯101 另一个进程拥有独占的信号灯102 已设置信号灯,无法关闭103 无法再设置信号灯104 无法在中断时请求独占的信号灯105 此信号灯的前一个所有权已结束107 由于没有插入另一个软盘,程序停止108 磁盘在使用中,或被另一个进程锁定109 管道已结束110 系统无法打开指定的设备或文件111 文件名太长112 磁盘空间不足113 没有更多的内部文件标识符114 目标内部文件标识符不正确117 应用程序发出的IOCTL 调用不正确118 验证写入的切换参数值不正确119 系统不支持请求的命令120 这个系统不支持该功能121 信号灯超时时间已到122 传递给系统调用的数据区域太小123 文件名、目录名或卷标语法不正确124系统调用级别不正确125 磁盘没有卷标126 找不到指定的模块127 找不到指定的程序128 没有等候的子进程130 试图使用操作(而非原始磁盘I/O)的已打开磁盘分区的文件句柄131 试图将文件指针移到文件开头之前132 无法在指定的设备或文件上设置文件指针133 包含先前加入驱动器的驱动器无法使用JOIN 或SUBST 命令134 试图在已被合并的驱动器上使用JOIN 或SUBST 命令135 试图在已被合并的驱动器上使用JOIN 或SUBST 命令136 系统试图解除未合并驱动器的JOIN137 系统试图解除未替代驱动器的SUBST138 系统试图将驱动器合并到合并驱动器上的目录139 系统试图将驱动器替代为替代驱动器上的目录140 系统试图将驱动器合并到替代驱动器上的目录141 系统试图替代驱动器为合并驱动器上的目录142 系统无法在此时运行JOIN 或SUBST143 系统无法将驱动器合并到或替代为相同驱动器上的目录144 目录不是根目录下的子目录145 目录不是空的146 指定的路径已在替代中使用147 资源不足,无法处理此命令148 指定的路径无法在此时使用149 企图将驱动器合并或替代为驱动器上目录是上一个替代的目标的驱动器150 系统跟踪信息未在CONFIG.SYS 文件中指定,或不允许跟踪151 为DosMuxSemWait指定的信号灯事件数量不正确152 DosMuxSemWait没有运行;已设置过多的信号灯153 DosMuxSemWait列表不正确154输入的卷标超过目标文件系统的长度限制155 无法创建另一个线程156 接收人进程拒绝此信号157 段已被放弃且无法锁定158 段已解除锁定159 线程ID 的地址不正确160 至少有一个参数不正确161 指定的路径无效162 信号已暂停164 无法在系统中创建更多的线程167 无法锁定文件区域170 请求的资源在使用中173 对于提供取消区域进行锁定的请求已完成174 文件系统不支持锁定类型的最小单元更改180 系统检测出错误的段183 当文件已存在时,无法创建该文186 传递的标志不正187 找不到指定的系统信号灯名196 操作系统无法运行此应用程197 操作系统当前的配置不能运行此应用程199 操作系统无法运行此应用程序200 代码段不可大于或等于64K203 操作系统找不到已输入的环境选项205 命令子树中的进程没有信号处理程序206 文件名或扩展名太长207 第2 环堆栈已被占用208 没有正确输入文件名通配符* 或?,或指定过多的文件名通配符209 正在发送的信号不正确210 无法设置信号处理程212 段已锁定且无法重新分配214 连到该程序或动态链接模块的动态链接模块太多215 无法嵌套调用LoadModule230 管道状态无效231 所有的管道范例都在使用中232 管道正在被关闭233 管道的另一端上无任何进程234有更多数据可用240 已取消会话254 指定的扩展属性名无效255 扩展属性不一致258 等待的操作过时259 没有可用的数据了266 无法使用复制功能267 目录名无效275 扩展属性在缓冲区中不适用276 装在文件系统上的扩展属性文件已损坏277 扩展属性表格文件已满278 指定的扩展属性句柄无效282 装入的文件系统不支持扩展属性288 企图释放并非呼叫方所拥有的多用户终端运行程序298 发向信号灯的请求过多299 仅完成部分的ReadProcessMemoty 或WriteProcessMemory 请求300操作锁定请求被拒绝301 系统接收了一个无效的操作锁定确认302 此卷太碎,不能完成这个操作303 不能打开文件,因为它正在被删除487 试图访问无效的地址534算术结果超过32 位535 管道的另一端有一进程536 等候打开管道另一端的进程994 拒绝访问扩展属性995 由于线程退出或应用程序请求,已放弃I/O 操作996 重叠I/O 事件不在信号状态中997 重叠I/O 操作在进行中998 内存分配访问无效999 执行页内操作时的错误1001 递归太深;堆栈溢出1002 窗口无法在已发送的消息上操作1003 无法完成此功能1004 无效标志1005 此卷不包含可识别的文件系统。
电脑问题解决:事件查看器的使用(windows系统)我们在使用电脑的时候难免会出现一些问题,在出现的时候我们通常会通过电脑表现的症状来判断问题的原因,但有时出现的一些问题并不容易判断出是什么原因导致的,因此,这时候我们就要借助windows系统自带的事件查看器来查找问题出现的原因了。
通常情况下,当电脑出现问题时不管是硬件问题还是软件问题在windows系统中基本上会有相关的日志记录(偶尔出现丢失的情况),而这记录的信息就可以在事件查看器中找到。
什么是事件查看器(eventvwr.msc)?微软在以Windows NT为内核的操作系统中都集成有事件查看器,它是 Microsoft Windows 操作系统工具。
事件查看器是重要的系统管理软件。
事件查看器有什么作用?1. 查看信息在事件查看器中可以看到事件发生的日期、事件的发生源、种类和ID,以及事件的详细描述。
这对寻找解决错误是最重要的。
2. 搜索事件如果系统中的事件过多,会很难找到真正导致系统问题的事件。
这时,可以使用事件“筛选”功能找到想找的日志以快速确定问题原因。
3. 存放日志微软在Windows 2000/NT/XP/2003等操作系统中都集成有事件查看器,它可以完成许多工作,比如审核系统事件和存放系统、安全及应用程序日志等。
系统日志中存放了Windows操作系统产生的信息、警告或错误。
通过查看这些信息、警告或错误,用户不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。
通过查看这些信息,用户可以了解到这些安全审核结果为成功还是失败。
应用程序日志中存放应用程序产生的信息、警告或错误。
通过查看这些信息、警告或错误,用户可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。
程序开发人员可以利用这些资源来改善应用程序。
事件查看器的打开方式方式一:首先右键点击桌面上“此电脑图标”,在弹出的右键菜单中选择“管理”在打开的“计算机管理”窗口左侧展开事件查看器即可方式二:按win+R组合键,打开运行对话框,在其中输入eventvwr 回车就可以直接打开(或者输入 eventvwr.msc)方式三:在搜索框中输入事件查看器搜索到事件查看器应用程序,直接打开就可以了。
Windows2003 事件查看器事件ID对应解释
使用本模块可以实现下列目标:
•识别由Microsoft® Windows Server™ 2003 操作系统生成的安全事件。
返回顶部
适用范围
本模块适用于下列产品和技术:
•W indows Server 2003
返回顶部
如何使用本模块
本模块是“Windows Server 2003 安全指南”的补充内容。
本模块中的表可以用作快速参考,以帮助您识别在Microsoft® Windows 操作系统事件日志中所记录的与安全有关的事件。
本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。
返回顶部
帐户登录事件
表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
表1:审核帐户登录事件
事件
事件描述
ID
672 已成功颁发和验证身份验证服务(AS) 票证。
673 授权票证服务(TGS) 票证已授权。
TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。
674 安全主体已更新AS 票证或TGS 票证。
675 预身份验证失败。
用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。
676 身份验证票证请求失败。
在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
677 TGS 票证未被授权。
在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
678 帐户已成功映射到域帐户。
681 登录失败。
尝试进行域帐户登录。
在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
682 用户已重新连接至已断开的终端服务器会话。
683 用户未注销就断开终端服务器会话。
返回顶部
帐户管理事件
表2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。
表2:审核帐户管理事件
事件描述
事件
ID
624 用户帐户已创建。
627 用户密码已更改。
628 用户密码已设置。
630 用户帐户已删除。
631 全局组已创建。
632 成员已添加至全局组。
633 成员已从全局组删除。
634 全局组已删除。
635 已新建本地组。
636 成员已添加至本地组。
637 成员已从本地组删除。
638 本地组已删除。
639 本地组帐户已更改。
641 全局组帐户已更改。
642 用户帐户已更改。
643 域策略已修改。
644 用户帐户被自动锁定。
645 计算机帐户已创建。
646 计算机帐户已更改。
647 计算机帐户已删除。
ID
648 禁用安全的本地安全组已创建。
注意:从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。
649 禁用安全的本地安全组已更改。
650 成员已添加至禁用安全的本地安全组。
651 成员已从禁用安全的本地安全组删除。
652 禁用安全的本地组已删除。
653 禁用安全的全局组已创建。
654 禁用安全的全局组已更改。
655 成员已添加至禁用安全的全局组。
656 成员已从禁用安全的全局组删除。
657 禁用安全的全局组已删除。
658 启用安全的通用组已创建。
659 启用安全的通用组已更改。
660 成员已添加至启用安全的通用组。
661 成员已从启用安全的通用组删除。
662 启用安全的通用组已删除。
663 禁用安全的通用组已创建。
664 禁用安全的通用组已更改。
665 成员已添加至禁用安全的通用组。
666 成员已从禁用安全的通用组删除。
667 禁用安全的通用组已删除。
668 组类型已更改。
684 管理组成员的安全描述符已设置。
注意:在域控制器上,每隔60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。
该事件已记录。
ID
685 帐户名称已更改。
返回顶部
目录服务访问事件
表3 显示了由“审核目录服务访问”安全模板设置所生成的安全事件。
表3:审核目录服务访问事件
事件ID 事件描述
566 发生了一般对象操作。
返回顶部
审核登录事件
表4 包含由“审核登录事件”安全模板设置所生成的安全事件。
表4:审核登录事件
审核登录事件
事件
ID
528 用户成功登录到计算机。
529 登录失败。
试图使用未知的用户名或已知用户名但错误密码进行登录。
530 登录失败。
试图在允许的时间外登录。
531 登录失败。
试图使用禁用的帐户登录。
532 登录失败。
试图使用已过期的帐户登录。
533 登录失败。
不允许登录到指定计算机的用户试图登录。
534 登录失败。
用户试图使用不允许的密码类型登录。
535 登录失败。
指定帐户的密码已过期。
536 登录失败。
Net Logon 服务没有启动。
537 登录失败。
由于其他原因登录尝试失败。
注意:在某些情况下,登录失败的原因可能是未知的。
538 用户的注销过程已完成。
539 登录失败。
试图登录时,该帐户已锁定。
ID
540 用户成功登录到网络。
541 本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式Internet 密钥交换(IKE) 身份验证已完成,或者快速模式已建立了数据频道。
542 数据频道已终止。
543 主要模式已终止。
注意:如果安全关联的时间限制(默认为8 小时)过期、策略更改或对等终止,则会发生此情况。
544 由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
545 由于Kerberos 失败或者密码无效,造成主要模式身份验证失败。
546 由于对等客户端发送的建议无效,造成IKE 安全关联建立失败。
接收到的程序包包含无效数据。
547 在IKE 握手过程中,出现错误。
548 登录失败。
来自信任域的安全标识符(SID) 与客户端的帐户域SID 不匹配。
549 登录失败。
在林内进行身份验证时,所有与不受信任的名称空间相关的SID 将被筛选出去。
550 可以用来指示可能的拒绝服务(DoS) 攻击的通知消息。
551 用户已启动注销过程。
552 用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
682 用户已重新连接至已断开的终端服务器会话。
683 用户还未注销就断开终端服务器会话。
注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。
该事件出现在终端服务器上。
