Windows Server 2016-Windows安全日誌ID彙總

Windows常見安全事件日誌ID彙總，供你們參考，但願能夠幫到你們。

 

ID	安全事件信息
1100	事件記錄服務已關閉
1101	審計事件已被運輸中斷。
1102	審覈日誌已清除
1104	安全日誌現已滿
1105	事件日誌自動備份
1108	事件日誌記錄服務遇到錯誤
4608	Windows正在啓動
4609	Windows正在關閉
4610	本地安全機構已加載身份驗證包
4611	已向本地安全機構註冊了受信任的登陸進程
4612	爲審計消息排隊分配的內部資源已經用盡，致使一些審計丟失。
4614	安全賬戶管理器已加載通知包。
4615	LPC端口使用無效
4616	系統時間已更改。
4618	已發生受監視的安全事件模式
4621	管理員從CrashOnAuditFail恢復了系統
4622	本地安全機構已加載安全包。
4624	賬戶已成功登陸
4625	賬戶沒法登陸
4626	用戶/設備聲明信息
4627	集團會員信息。
4634	賬戶已註銷
4646	IKE DoS防禦模式已啓動
4647	用戶啓動了註銷
4648	使用顯式憑據嘗試登陸
4649	檢測到重播攻擊
4650	創建了IPsec主模式安全關聯
4651	創建了IPsec主模式安全關聯
4652	IPsec主模式協商失敗
4653	IPsec主模式協商失敗
4654	IPsec快速模式協商失敗
4655	IPsec主模式安全關聯已結束
4656	請求了對象的句柄
4657	註冊表值已修改
4658	對象的句柄已關閉
4659	請求刪除對象的句柄
4660	對象已刪除
4661	請求了對象的句柄
4662	對對象執行了操做
4663	嘗試訪問對象
4664	試圖建立一個硬連接
4665	嘗試建立應用程序客戶端上下文。
4666	應用程序嘗試了一個操做
4667	應用程序客戶端上下文已刪除
4668	應用程序已初始化
4670	對象的權限已更改
4671	應用程序試圖經過TBS訪問被阻止的序號
4672	分配給新登陸的特權
4673	特權服務被召喚
4674	嘗試對特權對象執行操做
4675	SID被過濾掉了
4688	已經建立了一個新流程
4689	一個過程已經退出
4690	嘗試複製對象的句柄
4691	請求間接訪問對象
4692	嘗試備份數據保護主密鑰
4693	嘗試恢復數據保護主密鑰
4694	試圖保護可審計的受保護數據
4695	嘗試不受保護的可審計受保護數據
4696	主要令牌已分配給進程
4697	系統中安裝了一項服務
4698	已建立計劃任務
4699	計劃任務已刪除
4700	已啓用計劃任務
4701	計劃任務已禁用
4702	計劃任務已更新
4703	令牌權已經調整
4704	已分配用戶權限
4705	用戶權限已被刪除
4706	爲域建立了新的信任
4707	已刪除對域的信任
4709	IPsec服務已啓動
4710	IPsec服務已禁用
4711	PAStore引擎（1％）
4712	IPsec服務遇到了潛在的嚴重故障
4713	Kerberos策略已更改
4714	加密數據恢復策略已更改
4715	對象的審覈策略（SACL）已更改
4716	可信域信息已被修改
4717	系統安全訪問權限已授予賬戶
4718	系統安全訪問已從賬戶中刪除
4719	系統審覈策略已更改
4720	已建立用戶賬戶
4722	用戶賬戶已啓用
4723	嘗試更改賬戶的密碼
4724	嘗試重置賬戶密碼
4725	用戶賬戶已被禁用
4726	用戶賬戶已刪除
4727	已建立啓用安全性的全局組
4728	已將成員添加到啓用安全性的全局組中
4729	成員已從啓用安全性的全局組中刪除
4730	已刪除啓用安全性的全局組
4731	已建立啓用安全性的本地組
4732	已將成員添加到啓用安全性的本地組
4733	成員已從啓用安全性的本地組中刪除
4734	已刪除已啓用安全性的本地組
4735	已啓用安全性的本地組已更改
4737	啓用安全性的全局組已更改
4738	用戶賬戶已更改
4739	域策略已更改
4740	用戶賬戶已被鎖定
4741	已建立計算機賬戶
4742	計算機賬戶已更改
4743	計算機賬戶已刪除
4744	已建立禁用安全性的本地組
4745	已禁用安全性的本地組已更改
4746	已將成員添加到已禁用安全性的本地組
4747	已從安全性已禁用的本地組中刪除成員
4748	已刪除安全性已禁用的本地組
4749	已建立一個禁用安全性的全局組
4750	已禁用安全性的全局組已更改
4751	已將成員添加到已禁用安全性的全局組中
4752	成員已從禁用安全性的全局組中刪除
4753	已刪除安全性已禁用的全局組
4754	已建立啓用安全性的通用組
4755	啓用安全性的通用組已更改
4756	已將成員添加到啓用安全性的通用組中
4757	成員已從啓用安全性的通用組中刪除
4758	已刪除啓用安全性的通用組
4759	建立了一個安全禁用的通用組
4760	安全性已禁用的通用組已更改
4761	已將成員添加到已禁用安全性的通用組中
4762	成員已從禁用安全性的通用組中刪除
4763	已刪除安全性已禁用的通用組
4764	組類型已更改
4765	SID歷史記錄已添加到賬戶中
4766	嘗試將SID歷史記錄添加到賬戶失敗
4767	用戶賬戶已解鎖
4768	請求了Kerberos身份驗證票證（TGT）
4769	請求了Kerberos服務票證
4770	更新了Kerberos服務票證
4771	Kerberos預身份驗證失敗
4772	Kerberos身份驗證票證請求失敗
4773	Kerberos服務票證請求失敗
4774	已映射賬戶以進行登陸
4775	沒法映射賬戶以進行登陸
4776	域控制器嘗試驗證賬戶的憑據
4777	域控制器沒法驗證賬戶的憑據
4778	會話從新鏈接到Window Station
4779	會話已與Window Station斷開鏈接
4780	ACL是在做爲管理員組成員的賬戶上設置的
4781	賬戶名稱已更改
4782	密碼哈希賬戶被訪問
4783	建立了一個基本應用程序組
4784	基本應用程序組已更改
4785	成員已添加到基本應用程序組
4786	成員已從基本應用程序組中刪除
4787	非成員已添加到基本應用程序組
4788	從基本應用程序組中刪除了非成員。
4789	基本應用程序組已刪除
4790	已建立LDAP查詢組
4791	基本應用程序組已更改
4792	LDAP查詢組已刪除
4793	密碼策略檢查API已被調用
4794	嘗試設置目錄服務還原模式管理員密碼
4797	試圖查詢賬戶是否存在空白密碼
4798	枚舉了用戶的本地組成員身份。
4799	已枚舉啓用安全性的本地組成員身份
4800	工做站已鎖定
4801	工做站已解鎖
4802	屏幕保護程序被調用
4803	屏幕保護程序被解僱了
4816	RPC在解密傳入消息時檢測到完整性違規
4817	對象的審覈設置已更改。
4818	建議的中央訪問策略不授予與當前中央訪問策略相同的訪問權限
4819	計算機上的中央訪問策略已更改
4820	Kerberos票證授予票證（TGT）被拒絕，由於該設備不符合訪問控制限制
4821	Kerberos服務票證被拒絕，由於用戶，設備或二者都不符合訪問控制限制
4822	NTLM身份驗證失敗，由於該賬戶是受保護用戶組的成員
4823	NTLM身份驗證失敗，由於須要訪問控制限制
4824	使用DES或RC4進行Kerberos預身份驗證失敗，由於該賬戶是受保護用戶組的成員
4825	用戶被拒絕訪問遠程桌面。默認狀況下，僅當用戶是Remote Desktop Users組或Administrators組的成員時才容許用戶進行鏈接
4826	加載引導配置數據
4830	SID歷史記錄已從賬戶中刪除
4864	檢測到名稱空間衝突
4865	添加了受信任的林信息條目
4866	已刪除受信任的林信息條目
4867	已修改受信任的林信息條目
4868	證書管理器拒絕了掛起的證書請求
4869	證書服務收到從新提交的證書請求
4870	證書服務撤銷了證書
4871	證書服務收到發佈證書吊銷列表（CRL）的請求
4872	證書服務發佈證書吊銷列表（CRL）
4873	證書申請延期已更改
4874	一個或多個證書請求屬性已更改。
4875	證書服務收到關閉請求
4876	證書服務備份已啓動
4877	證書服務備份已完成
4878	證書服務還原已開始
4879	證書服務恢復已完成
4880	證書服務已啓動
4881	證書服務已中止
4882	證書服務的安全權限已更改
4883	證書服務檢索到存檔密鑰
4884	證書服務將證書導入其數據庫
4885	證書服務的審覈篩選器已更改
4886	證書服務收到證書請求
4887	證書服務批准了證書請求並頒發了證書
4888	證書服務拒絕了證書請求
4889	證書服務將證書請求的狀態設置爲掛起
4890	證書服務的證書管理器設置已更改。
4891	證書服務中的配置條目已更改
4892	證書服務的屬性已更改
4893	證書服務存檔密鑰
4894	證書服務導入並存檔了一個密鑰
4895	證書服務將CA證書發佈到Active Directory域服務
4896	已從證書數據庫中刪除一行或多行
4897	啓用角色分離
4898	證書服務加載了一個模板
4899	證書服務模板已更新
4900	證書服務模板安全性已更新
4902	已建立每用戶審覈策略表
4904	嘗試註冊安全事件源
4905	嘗試取消註冊安全事件源
4906	CrashOnAuditFail值已更改
4907	對象的審覈設置已更改
4908	特殊組登陸表已修改
4909	TBS的本地策略設置已更改
4910	TBS的組策略設置已更改
4911	對象的資源屬性已更改
4912	每用戶審覈策略已更改
4913	對象的中央訪問策略已更改
4928	創建了Active Directory副本源命名上下文
4929	已刪除Active Directory副本源命名上下文
4930	已修改Active Directory副本源命名上下文
4931	已修改Active Directory副本目標命名上下文
4932	已開始同步Active Directory命名上下文的副本
4933	Active Directory命名上下文的副本的同步已結束
4934	已複製Active Directory對象的屬性
4935	複製失敗開始
4936	複製失敗結束
4937	從副本中刪除了一個延遲對象
4944	Windows防火牆啓動時，如下策略處於活動狀態
4945	Windows防火牆啓動時列出了規則
4946	已對Windows防火牆例外列表進行了更改。增長了一條規則
4947	已對Windows防火牆例外列表進行了更改。規則被修改了
4948	已對Windows防火牆例外列表進行了更改。規則已刪除
4949	Windows防火牆設置已恢復爲默認值
4950	Windows防火牆設置已更改
4951	規則已被忽略，由於Windows防火牆沒法識別其主要版本號
4952	已忽略規則的某些部分，由於Windows防火牆沒法識別其次要版本號
4953	Windows防火牆已忽略規則，由於它沒法解析規則
4954	Windows防火牆組策略設置已更改。已應用新設置
4956	Windows防火牆已更改活動配置文件
4957	Windows防火牆未應用如下規則
4958	Windows防火牆未應用如下規則，由於該規則引用了此計算機上未配置的項目
4960	IPsec丟棄了未經過完整性檢查的入站數據包
4961	IPsec丟棄了重放檢查失敗的入站數據包
4962	IPsec丟棄了重放檢查失敗的入站數據包
4963	IPsec丟棄了應該受到保護的入站明文數據包
4964	特殊組已分配給新登陸
4965	IPsec從遠程計算機收到一個包含不正確的安全參數索引（SPI）的數據包。
4976	在主模式協商期間，IPsec收到無效的協商數據包。
4977	在快速模式協商期間，IPsec收到無效的協商數據包。
4978	在擴展模式協商期間，IPsec收到無效的協商數據包。
4979	創建了IPsec主模式和擴展模式安全關聯。
4980	創建了IPsec主模式和擴展模式安全關聯
4981	創建了IPsec主模式和擴展模式安全關聯
4982	創建了IPsec主模式和擴展模式安全關聯
4983	IPsec擴展模式協商失敗
4984	IPsec擴展模式協商失敗
4985	交易狀態已發生變化
5024	Windows防火牆服務已成功啓動
5025	Windows防火牆服務已中止
5027	Windows防火牆服務沒法從本地存儲中檢索安全策略
5028	Windows防火牆服務沒法解析新的安全策略。
5029	Windows防火牆服務沒法初始化驅動程序
5030	Windows防火牆服務沒法啓動
5031	Windows防火牆服務阻止應用程序接受網絡上的傳入鏈接。
5032	Windows防火牆沒法通知用戶它阻止應用程序接受網絡上的傳入鏈接
5033	Windows防火牆驅動程序已成功啓動
5034	Windows防火牆驅動程序已中止
5035	Windows防火牆驅動程序沒法啓動
5037	Windows防火牆驅動程序檢測到嚴重的運行時錯 終止
5038	代碼完整性肯定文件的圖像哈希無效
5039	註冊表項已虛擬化。
5040	已對IPsec設置進行了更改。添加了身份驗證集。
5041	已對IPsec設置進行了更改。身份驗證集已修改
5042	已對IPsec設置進行了更改。身份驗證集已刪除
5043	已對IPsec設置進行了更改。添加了鏈接安全規則
5044	已對IPsec設置進行了更改。鏈接安全規則已修改
5045	已對IPsec設置進行了更改。鏈接安全規則已刪除
5046	已對IPsec設置進行了更改。添加了加密集
5047	已對IPsec設置進行了更改。加密集已被修改
5048	已對IPsec設置進行了更改。加密集已刪除
5049	IPsec安全關聯已刪除
5050	嘗試使用對INetFwProfile.FirewallEnabled的調用以編程方式禁用Windows防火牆（FALSE
5051	文件已虛擬化
5056	進行了密碼自檢
5057	加密原語操做失敗
5058	密鑰文件操做
5059	密鑰遷移操做
5060	驗證操做失敗
5061	加密操做
5062	進行了內核模式加密自檢
5063	嘗試了加密提供程序操做
5064	嘗試了加密上下文操做
5065	嘗試了加密上下文修改
5066	嘗試了加密功能操做
5067	嘗試了加密功能修改
5068	嘗試了加密函數提供程序操做
5069	嘗試了加密函數屬性操做
5070	嘗試了加密函數屬性操做
5071	Microsoft密鑰分發服務拒絕密鑰訪問
5120	OCSP響應程序服務已啓動
5121	OCSP響應程序服務已中止
5122	OCSP響應程序服務中的配置條目已更改
5123	OCSP響應程序服務中的配置條目已更改
5124	在OCSP Responder Service上更新了安全設置
5125	請求已提交給OCSP Responder Service
5126	簽名證書由OCSP Responder Service自動更新
5127	OCSP吊銷提供商成功更新了吊銷信息
5136	目錄服務對象已修改
5137	已建立目錄服務對象
5138	目錄服務對象已取消刪除
5139	已移動目錄服務對象
5140	訪問了網絡共享對象
5141	目錄服務對象已刪除
5142	添加了網絡共享對象。
5143	網絡共享對象已被修改
5144	網絡共享對象已刪除。
5145	檢查網絡共享對象以查看是否能夠向客戶端授予所需的訪問權限
5146	Windows篩選平臺已阻止數據包
5147	限制性更強的Windows篩選平臺篩選器阻止了數據包
5148	Windows過濾平臺檢測到DoS攻擊並進入防護模式; 與此攻擊相關的數據包將被丟棄。
5149	DoS攻擊已經消退，正常處理正在恢復。
5150	Windows篩選平臺已阻止數據包。
5151	限制性更強的Windows篩選平臺篩選器阻止了數據包。
5152	Windows篩選平臺阻止了數據包
5153	限制性更強的Windows篩選平臺篩選器阻止了數據包
5154	Windows過濾平臺容許應用程序或服務在端口上偵聽傳入鏈接
5155	Windows篩選平臺已阻止應用程序或服務偵聽端口上的傳入鏈接
5156	Windows篩選平臺容許鏈接
5157	Windows篩選平臺已阻止鏈接
5158	Windows篩選平臺容許綁定到本地端口
5159	Windows篩選平臺已阻止綁定到本地端口
5168	SMB / SMB2的Spn檢查失敗。
5169	目錄服務對象已修改
5170	在後臺清理任務期間修改了目錄服務對象
5376	已備份憑據管理器憑據
5377	Credential Manager憑據已從備份還原
5378	策略不容許請求的憑據委派
5440	Windows篩選平臺基本篩選引擎啓動時出現如下callout
5441	Windows篩選平臺基本篩選引擎啓動時存在如下篩選器
5442	Windows篩選平臺基本篩選引擎啓動時，存在如下提供程序
5443	Windows篩選平臺基本篩選引擎啓動時，存在如下提供程序上下文
5444	Windows篩選平臺基本篩選引擎啓動時，存在如下子層
5446	Windows篩選平臺標註已更改
5447	Windows篩選平臺篩選器已更改
5448	Windows篩選平臺提供程序已更改
5449	Windows篩選平臺提供程序上下文已更改
5450	Windows篩選平臺子層已更改
5451	創建了IPsec快速模式安全關聯
5452	IPsec快速模式安全關聯已結束
5453	與遠程計算機的IPsec協商失敗，由於未啓動IKE和AuthIP IPsec密鑰模塊（IKEEXT）服務
5456	PAStore引擎在計算機上應用了Active Directory存儲IPsec策略
5457	PAStore引擎沒法在計算機上應用Active Directory存儲IPsec策略
5458	PAStore引擎在計算機上應用了Active Directory存儲IPsec策略的本地緩存副本
5459	PAStore引擎沒法在計算機上應用Active Directory存儲IPsec策略的本地緩存副本
5460	PAStore引擎在計算機上應用了本地註冊表存儲IPsec策略
5461	PAStore引擎沒法在計算機上應用本地註冊表存儲IPsec策略
5462	PAStore引擎沒法在計算機上應用某些活動IPsec策略規則
5463	PAStore引擎輪詢活動IPsec策略的更改並檢測不到任何更改
5464	PAStore引擎輪詢活動IPsec策略的更改，檢測到更改並將其應用於IPsec服務
5465	PAStore Engine收到強制從新加載IPsec策略的控件併成功處理控件
5466	PAStore引擎輪詢Active Directory IPsec策略的更改，肯定沒法訪問Active Directory，並將使用Active Directory IPsec策略的緩存副本
5467	PAStore引擎輪詢Active Directory IPsec策略的更改，肯定能夠訪問Active Directory，而且未找到對策略的更改
5468	PAStore引擎輪詢Active Directory IPsec策略的更改，肯定能夠訪問Active Directory，找到策略更改並應用這些更改
5471	PAStore引擎在計算機上加載了本地存儲IPsec策略
5472	PAStore引擎沒法在計算機上加載本地存儲IPsec策略
5473	PAStore引擎在計算機上加載了目錄存儲IPsec策略
5474	PAStore引擎沒法在計算機上加載目錄存儲IPsec策略
5477	PAStore引擎沒法添加快速模式過濾器
5478	IPsec服務已成功啓動
5479	IPsec服務已成功關閉
5480	IPsec服務沒法獲取計算機上的完整網絡接口列表
5483	IPsec服務沒法初始化RPC服務器。沒法啓動IPsec服務
5484	IPsec服務遇到嚴重故障並已關閉
5485	IPsec服務沒法在網絡接口的即插即用事件上處理某些IPsec篩選器
5632	已請求對無線網絡進行身份驗證
5633	已請求對有線網絡進行身份驗證
5712	嘗試了遠程過程調用（RPC）
5888	COM +目錄中的對象已被修改
5889	從COM +目錄中刪除了一個對象
5890	一個對象已添加到COM +目錄中
6144	組策略對象中的安全策略已成功應用
6145	處理組策略對象中的安全策略時發生一個或多個錯誤
6272	網絡策略服務器授予用戶訪問權限
6273	網絡策略服務器拒絕訪問用戶
6274	網絡策略服務器放棄了對用戶的請求
6275	網絡策略服務器放棄了用戶的記賬請求
6276	網絡策略服務器隔離了用戶
6277	網絡策略服務器授予用戶訪問權限，但因爲主機未知足定義的健康策略而將其置於試用期
6278	網絡策略服務器授予用戶徹底訪問權限，由於主機符合定義的健康策略
6279	因爲重複失敗的身份驗證嘗試，網絡策略服務器鎖定了用戶賬戶
6280	網絡策略服務器解鎖了用戶賬戶
6281	代碼完整性肯定圖像文件的頁面哈希值無效...
6400	BranchCache：在發現內容可用性時收到格式錯誤的響應。
6401	BranchCache：從對等方收到無效數據。數據被丟棄。
6402	BranchCache：提供數據的託管緩存的消息格式不正確。
6403	BranchCache：託管緩存發送了對客戶端消息的錯誤格式化響應以提供數據。
6404	BranchCache：沒法使用配置的SSL證書對託管緩存進行身份驗證。
6405	BranchCache：發生了事件ID％1的％2個實例。
6406	％1註冊到Windows防火牆以控制如下過濾：
6407	1%
6408	已註冊的產品％1失敗，Windows防火牆如今正在控制％2的過濾。
6409	BranchCache：沒法解析服務鏈接點對象
6410	代碼完整性肯定文件不知足加載到進程中的安全性要求。這多是因爲使用共享部分或其餘問題
6416	系統識別出新的外部設備。
6417	FIPS模式加密自檢成功
6418	FIPS模式加密自檢失敗
6419	發出了禁用設備的請求
6420	設備已禁用
6421	已發出請求以啓用設備
6422	設備已啓用
6423	系統策略禁止安裝此設備
6424	在事先被政策禁止以後，容許安裝此設備
8191	最高系統定義的審計消息值

歡迎關注微信公衆號：小溫研習社