บทความนี้อธิบายต่าง ๆ เกี่ยวกับการรักษาความปลอดภัย และการตรวจสอบเกี่ยวกับเหตุการณ์ ใน Windows Vista และ Windows Server 2008 บทความนี้ยังให้ข้อมูลเกี่ยวกับวิธีการแปลเหตุการณ์เหล่านี้ เหตุการณ์เหล่านี้ทั้งหมดปรากฏขึ้นในล็อกการรักษาความปลอดภัย และเข้าสู่ระบบ ด้วยแหล่งที่มาของการตรวจ "ความปลอดภัยสอบ นอกจากนี้บทความนี้อธิบายวิธีการที่ดึงข้อมูลที่เป็นคำอธิบายเพิ่มเติมเกี่ยวกับแต่ละเหตุการณ์
ส่วนนี้แสดงรายการ Windows Vista ความปลอดภัยเกี่ยวกับการตรวจสอบเหตุการณ์ทั้งหมด ตามประเภท และ subcategory
หมายเหตุ:เหตุการณ์ต่อไปนี้ใน subcategory การเปลี่ยนแปลงการบริการไดเรกทอรีไม่พร้อมใช้งานเฉพาะ ใน Windows Vista Service Pack 1 และ ใน Windows Server 2008
หมายเหตุ:เหตุการณ์ทั้งหมดที่อยู่ใน subcategory Server นโยบายของเครือข่ายจะพร้อมใช้งานเฉพาะ ใน Windows Vista Service Pack 1 และ ใน Windows Server 2008
หมายเหตุ
กลับไปด้านบนประเภท: การเข้าสู่ระบบบัญชี
subcategory: การตรวจสอบข้อมูลประจำตัว
| หมายเลข | ข้อความ |
|---|---|
| 4774 | บัญชีถูกแมปสำหรับการเข้าสู่ระบบ |
| 4775 | อาจไม่มีแมปบัญชีผู้ใช้สำหรับการเข้าสู่ระบบ |
| 4776 | ตัวควบคุมโดเมนพยายามที่จะตรวจสอบข้อมูลประจำตัวสำหรับบัญชีผู้ใช้ |
| 4777 | ตัวควบคุมโดเมนล้มเหลวในการตรวจสอบข้อมูลประจำตัวสำหรับบัญชีผู้ใช้ |
subcategory: บริการการรับรองความถูกต้อง Kerberos
| หมายเลข | ข้อความ |
|---|---|
| 4768 | ร้องขอบัตรรับรองความถูกต้อง Kerberos ใน (TGT) |
| 4771 | kerberos pre-authentication ไม่สำเร็จ |
| 4772 | การร้องขอบัตรรับรองความถูกต้อง Kerberos ไม่สำเร็จ |
subcategory: การดำเนินงานบัตรบริการ Kerberos
| หมายเลข | ข้อความ |
|---|---|
| 4769 | ร้องขอบัตรการบริการ Kerberos |
| 4770 | บัตรการบริการ Kerberos ถูกต่ออายุใหม่ |
| 4773 | การร้องขอบัตรบริการ Kerberos ไม่สำเร็จ |
ประเภท: การจัดการบัญชี
subcategory: การจัดการ กลุ่มแอพลิเคชัน
| หมายเลข | ข้อความ |
|---|---|
| 4783 | สร้างกลุ่มแอพลิเคชันพื้นฐาน |
| 4784 | กลุ่มแอพลิเคชันพื้นฐานถูกเปลี่ยนแปลง |
| 4785 | สมาชิกถูกเพิ่มให้กับกลุ่มแอพลิเคชันพื้นฐาน |
| 4786 | สมาชิกถูกเอาออกจากกลุ่มแอพลิเคชันพื้นฐาน |
| 4787 | ไม่มีสมาชิกถูกเพิ่มให้กับกลุ่มแอพลิเคชันพื้นฐาน |
| 4788 | ไม่มีสมาชิกถูกเอาออกจากกลุ่มแอพลิเคชันพื้นฐาน |
| 4789 | กลุ่มแอพลิเคชันพื้นฐานถูกลบแล้ว |
| 4790 | กลุ่มการสอบถาม LDAP ถูกสร้างขึ้น |
| 4791 | กลุ่มแอพลิเคชันพื้นฐานถูกเปลี่ยนแปลง |
| 4792 | กลุ่มการสอบถาม LDAP ที่ถูกลบ |
subcategory: จัดการบัญชีคอมพิวเตอร์
| หมายเลข | ข้อความ |
|---|---|
| 4741 | บัญชีคอมพิวเตอร์ถูกสร้างขึ้น |
| 4742 | บัญชีคอมพิวเตอร์ถูกเปลี่ยนแปลง |
| 4743 | บัญชีคอมพิวเตอร์ถูกลบ |
subcategory: การจัดการ กลุ่มการแจกจ่าย
| หมายเลข | ข้อความ |
|---|---|
| 4744 | กลุ่มโลคัลปิดใช้งานความปลอดภัยที่ถูกสร้างขึ้น |
| 4745 | กลุ่มโลคัลปิดใช้งานความปลอดภัยมีการเปลี่ยนแปลง |
| 4746 | สมาชิกถูกเพิ่มให้กับกลุ่มเฉพาะที่ปิดใช้งานความปลอดภัย |
| 4747 | สมาชิกถูกเอาออกจากกลุ่มโลคัลปิดใช้งานความปลอดภัย |
| 4748 | กลุ่มโลคัลปิดใช้งานความปลอดภัยที่ถูกลบ |
| 4749 | กลุ่มส่วนกลางปิดใช้งานการรักษาความปลอดภัยที่ถูกสร้างขึ้น |
| 4750 | กลุ่มส่วนกลางปิดใช้งานการรักษาความปลอดภัยมีการเปลี่ยนแปลง |
| 4751 | สมาชิกถูกเพิ่มให้กับกลุ่มส่วนกลางปิดใช้งานการรักษาความปลอดภัย |
| 4752 | สมาชิกถูกเอาออกจากกลุ่มส่วนกลางปิดใช้งานการรักษาความปลอดภัย |
| 4753 | กลุ่มส่วนกลางปิดใช้งานการรักษาความปลอดภัยที่ถูกลบ |
| 4759 | กลุ่มหลากหลายปิดใช้งานความปลอดภัยที่ถูกสร้างขึ้น |
| 4760 | กลุ่มหลากหลายปิดใช้งานความปลอดภัยมีการเปลี่ยนแปลง |
| 4761 | สมาชิกถูกเพิ่มให้กับกลุ่มหลากหลายปิดใช้งานความปลอดภัย |
| 4762 | สมาชิกถูกเอาออกจากกลุ่มหลากหลายปิดใช้งานความปลอดภัย |
subcategory: เพิ่มบัญชีการจัดการเหตุการณ์
| หมายเลข | ข้อความ |
|---|---|
| 4739 | นโยบายโดเมนมีการเปลี่ยนแปลง |
| 4782 | แฮชของรหัสผ่านบัญชีผู้ใช้ถูกเข้าถึง |
| 4793 | มีเรียก API การตรวจสอบนโยบายรหัสผ่าน |
subcategory: การจัดการ กลุ่มการรักษาความปลอดภัย
| หมายเลข | ข้อความ |
|---|---|
| 4727 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มส่วนกลางที่ถูกสร้างขึ้น |
| 4728 | สมาชิกถูกเพิ่มการรักษาความปลอดภัยกลุ่มส่วนกลาง |
| 4729 | สมาชิกถูกเอาออกจากการรักษาความปลอดภัยกลุ่มส่วนกลาง |
| 4730 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มส่วนกลางที่ถูกลบ |
| 4731 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มโลคัลถูกสร้างขึ้น |
| 4732 | สมาชิกถูกเพิ่มการรักษาความปลอดภัยกลุ่มโลคัล |
| 4733 | สมาชิกถูกเอาออกจากการรักษาความปลอดภัยกลุ่มโลคัล |
| 4734 | การรักษาความปลอดภัยภายในกลุ่มที่ถูกลบ |
| 4735 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มโลคัลมีการเปลี่ยนแปลง |
| 4737 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มส่วนกลางที่ถูกเปลี่ยนแปลง |
| 4754 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มหลากหลายถูกสร้างขึ้น |
| 4755 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มหลากหลายถูกเปลี่ยนแปลง |
| 4756 | สมาชิกถูกเพิ่มการรักษาความปลอดภัยกลุ่มหลากหลาย |
| 4757 | สมาชิกถูกเอาออกจากการรักษาความปลอดภัยกลุ่มหลากหลาย |
| 4758 | เปิดใช้งานการรักษาความปลอดภัยกลุ่มหลากหลายถูกลบแล้ว |
| 4764 | ชนิดของกลุ่มถูกเปลี่ยนแปลง |
subcategory: การจัดการบัญชีผู้ใช้
| หมายเลข | ข้อความ |
|---|---|
| 4720 | บัญชีผู้ใช้ถูกสร้างขึ้น |
| 4722 | บัญชีผู้ใช้ถูกเปิดใช้งาน |
| 4723 | มีความพยายามในการเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ |
| 4724 | มีความพยายามในการตั้งค่ารหัสผ่านของบัญชีผู้ใช้ |
| 4725 | บัญชีผู้ใช้ถูกปิดการใช้งาน |
| 4726 | บัญชีผู้ใช้ที่ถูกลบ |
| 4738 | บัญชีผู้ใช้ที่มีการเปลี่ยนแปลง |
| 4740 | บัญชีผู้ใช้ถูกปิดใช้งาน |
| 4765 | ประวัติ SID ถูกเพิ่มไปยังบัญชีผู้ใช้ |
| 4766 | ความพยายามที่จะเพิ่ม SID ประวัติบัญชีผู้ใช้ล้มเหลว |
| 4767 | บัญชีผู้ใช้ถูกปลดล็อก |
| 4780 | ACL ถูกตั้งค่าในบัญชีที่เป็นสมาชิกของกลุ่มผู้ดูแล |
| 4781 | การเปลี่ยนชื่อของบัญชีผู้ใช้: |
| 4794 | มีความพยายามในการตั้งค่าโหมดการคืนค่าบริการไดเรกทอรี |
| 5376 | ข้อมูลประจำตัวของโปรแกรมจัดการข้อมูลประจำตัวที่ถูกสำรอง |
| 5377 | ข้อมูลประจำตัวของโปรแกรมจัดการข้อมูลประจำตัวที่ถูกเรียกคืนจากการสำรองข้อมูล |
ประเภท: การติดตามโดยละเอียด
subcategory: กิจกรรม DPAPI
| หมายเลข | ข้อความ |
|---|---|
| 4692 | ความพยายามสำรองข้อมูลคีย์หลักการป้องกันข้อมูล |
| 4693 | ความพยายามกู้คืนข้อมูลคีย์หลักการป้องกัน |
| 4694 | การป้องกันข้อมูลที่ได้รับการป้องกัน auditable ความพยายาม |
| 4695 | ความพยายาม unprotection ของข้อมูลที่ได้รับการป้องกัน auditable |
subcategory: การสร้างการดำเนินการ
| หมายเลข | ข้อความ |
|---|---|
| 4688 | กระบวนการใหม่ถูกสร้างขึ้น |
| 4696 | โทเค็นหลักถูกกำหนดให้ดำเนินการ |
subcategory: จ้างประมวลผล
| หมายเลข | ข้อความ |
|---|---|
| 4689 | กระบวนการมี exited |
subcategory: เหตุการณ์ RPC
| หมายเลข | ข้อความ |
|---|---|
| 5712 | ความพยายามแบบระยะไกลกระบวนงานเรียก (RPC) |
ประเภท: การเข้าถึง DS
subcategory: จำลองแบบของบริการไดเรกทอรีโดยละเอียด
| หมายเลข | ข้อความ |
|---|---|
| 4928 | มี Active Directory แบบจำลองต้นฉบับบริบทการตั้งชื่อที่ถูกสร้าง |
| 4929 | มี Active Directory แบบจำลองต้นฉบับบริบทการตั้งชื่อถูกเอาออก |
| 4930 | มี Active Directory แบบจำลองต้นฉบับบริบทการตั้งชื่อที่ถูกปรับเปลี่ยน |
| 4931 | มี Active Directory แบบจำลองปลายทางบริบทการตั้งชื่อที่ถูกปรับเปลี่ยน |
| 4934 | คุณลักษณะของวัตถุ Active Directory ถูกจำลองแบบ |
| 4935 | ความล้มเหลวในการจำลองแบบเริ่มต้น |
| 4936 | ความล้มเหลวในการจำลองแบบสิ้นสุด |
| 4937 | วัตถุแบบ lingering ถูกเอาออกจากแบบจำลอง |
subcategory: การเข้าถึงบริการไดเรกทอรี
| หมายเลข | ข้อความ |
|---|---|
| 4662 | ได้ทำการดำเนินการบนวัตถุ |
subcategory: การเปลี่ยนแปลงบริการไดเรกทอรี
| หมายเลข | ข้อความ |
|---|---|
| 5136 | วัตถุการบริการไดเรกทอรีถูกปรับเปลี่ยน |
| 5137 | วัตถุการบริการไดเรกทอรีถูกสร้างขึ้น |
| 5138 | วัตถุการบริการไดเรกทอรีถูกยก |
| 5139 | วัตถุการบริการไดเรกทอรีถูกย้าย |
หมายเหตุ:เหตุการณ์ต่อไปนี้ใน subcategory การเปลี่ยนแปลงการบริการไดเรกทอรีไม่พร้อมใช้งานเฉพาะ ใน Windows Vista Service Pack 1 และ ใน Windows Server 2008
| หมายเลข | ข้อความ |
|---|---|
| 5141 | วัตถุการบริการไดเรกทอรีที่ถูกลบ |
subcategory: การจำลองแบบบริการไดเรกทอรี
| หมายเลข | ข้อความ |
|---|---|
| 4932 | การซิงโครไนส์แบบจำลองมีบริบทการตั้งชื่อ Active Directory ได้เริ่มต้นแล้ว |
| 4933 | การซิงโครไนส์แบบจำลองมีบริบทการตั้งชื่อ Active Directory ได้สิ้นสุดลง |
ประเภท: การเข้าสู่ระบบ/ออกจากระบบ
subcategory: IPsec โหมดขยาย
| หมายเลข | ข้อความ |
|---|---|
| 4978 | ในระหว่างการเจรจาของโหมดขยาย IPsec ได้รับแพคเก็ตการเจรจาไม่ถูกต้อง หากปัญหานี้ยังคงมีอยู่ ดังกล่าวอาจระบุว่า มีปัญหาเครือข่ายหรือความพยายามที่จะปรับเปลี่ยน หรือ replay เจรจานี้ |
| 4979 | มีสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ ipsec และโหมดขยาย |
| 4980 | มีสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ ipsec และโหมดขยาย |
| 4981 | มีสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ ipsec และโหมดขยาย |
| 4982 | มีสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ ipsec และโหมดขยาย |
| 4983 | การเจรจาของโหมดขยาย IPsec ล้มเหลว ความสัมพันธ์ด้านความปลอดภัยโหมดหลักที่สอดคล้องกันถูกลบไปแล้ว |
| 4984 | การเจรจาของโหมดขยาย IPsec ล้มเหลว ความสัมพันธ์ด้านความปลอดภัยโหมดหลักที่สอดคล้องกันถูกลบไปแล้ว |
subcategory: โหมดหลักของ IPsec
| หมายเลข | ข้อความ |
|---|---|
| 4646 | โหมดป้องกัน DoS-IKE ที่เริ่มต้น |
| 4650 | การสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ IPsec ไม่สำเร็จ โหมดขยายไม่ถูกเปิดใช้งาน ไม่มีใช้ใบรับรองการรับรองความถูกต้อง |
| 4651 | การสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ IPsec ไม่สำเร็จ โหมดขยายไม่ถูกเปิดใช้งาน ใบรับรองถูกใช้สำหรับการรับรองความถูกต้อง |
| 4652 | การเจรจาของโหมดหลักของ IPsec ล้มเหลว |
| 4653 | การเจรจาของโหมดหลักของ IPsec ล้มเหลว |
| 4655 | การสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดหลักของ IPsec สิ้นสุดลง |
| 4976 | ในระหว่างการเจรจาของโหมดหลัก IPsec ได้รับแพคเก็ตการเจรจาไม่ถูกต้อง หากปัญหานี้ยังคงมีอยู่ ดังกล่าวอาจระบุว่า มีปัญหาเครือข่ายหรือความพยายามที่จะปรับเปลี่ยน หรือ replay เจรจานี้ |
| 5049 | ความสัมพันธ์การรักษาความปลอดภัยของ IPsec ที่ถูกลบ |
| 5453 | การเจรจา IPsec กับคอมพิวเตอร์ระยะไกลล้มเหลวเนื่องจากไม่มีการเริ่มต้นบริการ IKE และ AuthIP IPsec Keying โมดูล (IKEEXT) |
subcategory: โหมดด่วน IPsec
| หมายเลข | ข้อความ |
|---|---|
| 4654 | การเจรจาของโหมดรวดเร็วของ IPsec ล้มเหลว |
| 4977 | ในระหว่างการเจรจาของโหมดรวดเร็ว IPsec ได้รับแพคเก็ตการเจรจาไม่ถูกต้อง หากปัญหานี้ยังคงมีอยู่ ดังกล่าวอาจระบุว่า มีปัญหาเครือข่ายหรือความพยายามที่จะปรับเปลี่ยน หรือ replay เจรจานี้ |
| 5451 | การสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดรวดเร็วของ IPsec ไม่สำเร็จ |
| 5452 | การสร้างความสัมพันธ์ด้านความปลอดภัยของโหมดรวดเร็วของ IPsec สิ้นสุดลง |
subcategory: ออกจากระบบ
| หมายเลข | ข้อความ |
|---|---|
| 4634 | บัญชีผู้ใช้ถูกออกจากระบบ |
| 4647 | ผู้ใช้เริ่มต้นออกจากระบบ |
subcategory: การเข้าสู่ระบบ
| หมายเลข | ข้อความ |
|---|---|
| 4624 | บัญชีผู้ใช้ถูกบันทึกบนเสร็จเรียบร้อยแล้ว |
| 4625 | ไม่สามารถเข้าสู่ระบบบัญชีผู้ใช้ |
| 4648 | เข้าสู่ระบบมีความพยายามใช้ข้อมูลประจำตัวที่ชัดเจน |
| 4675 | SIDs ถูกกรอง |
subcategory: เซิร์ฟเวอร์นโยบายของเครือข่าย
| หมายเลข | ข้อความ |
|---|---|
| 6272 | เซิร์ฟเวอร์นโยบายของเครือข่ายอนุญาตให้เข้าถึงสำหรับผู้ใช้ |
| 6273 | เซิร์ฟเวอร์นโยบายของเครือข่ายปฏิเสธการเข้าถึงสำหรับผู้ใช้ |
| 6274 | เซิร์ฟเวอร์นโยบายของเครือข่ายถูกยกเลิกการร้องขอของผู้ใช้ |
| 6275 | เซิร์ฟเวอร์นโยบายของเครือข่ายถูกยกเลิกการร้องขอบัญชีผู้ใช้ |
| 6276 | เซิร์ฟเวอร์นโยบายของเครือข่าย quarantined ผู้ใช้ |
| 6277 | เซิร์ฟเวอร์นโยบายของเครือข่ายอนุญาตให้เข้าถึงสำหรับผู้ใช้ แต่เก็บไว้ใน probation เนื่องจากโฮสต์ไม่ตรงกับนโยบายสุขภาพที่กำหนดไม่ |
| 6278 | เซิร์ฟเวอร์นโยบายของเครือข่ายให้เต็มรูปแบบการเข้าถึงสำหรับผู้ใช้ได้เนื่องจากโฮสต์ตรงตามนโยบายสุขภาพที่กำหนด |
| 6279 | เซิร์ฟเวอร์นโยบายของเครือข่ายล็อคบัญชีผู้ใช้เนื่องจากความพยายามในการรับรองความถูกต้องล้มเหลวซ้ำ |
| 6280 | เซิร์ฟเวอร์นโยบายของเครือข่าย unlocked บัญชีผู้ใช้ |
subcategory: อื่นเข้าสู่ระบบ/ออกจากระบบเหตุการณ์
| หมายเลข | ข้อความ |
|---|---|
| 4649 | ตรวจพบการโจมตี replay |
| 4778 | เซสชันถูก reconnected ไปยังสถานีหน้าต่าง |
| 4779 | เซสชันถูกยกเลิกการเชื่อมต่อจากสถานีหน้าต่าง |
| 4800 | คอมพิวเตอร์ลูกข่ายถูกล็อก |
| 4801 | เวิร์กสเตชันถูกปลดล็อก |
| 4802 | ตัวรักษาหน้าจอที่ถูกเรียกใช้ |
| 4803 | ตัวรักษาหน้าจอที่ถูกไล่ |
| 5378 | นโยบายไม่อนุญาตให้การมอบหมายข้อมูลประจำตัวที่ร้องขอนี้ |
| 5632 | ทำการร้องขอการรับรองความถูกต้องไปยังเครือข่ายแบบไร้สาย |
| 5633 | ทำการร้องขอการรับรองความถูกต้องไปยังเครือข่ายแบบมีสาย |
subcategory: เข้าสู่ระบบแบบพิเศษ
| หมายเลข | ข้อความ |
|---|---|
| 4964 | กลุ่มพิเศษได้กำหนดให้กับการเข้าสู่ระบบใหม่ |
ประเภท: การเข้าถึงวัตถุ
subcategory: แอพลิเคชันที่สร้างขึ้น
| หมายเลข | ข้อความ |
|---|---|
| 4665 | มีความพยายามในการสร้างบริบทการไคลเอ็นต์ของแอพลิเคชัน |
| 4666 | โปรแกรมประยุกต์พยายามทำการดำเนินการ: |
| 4667 | บริบทไคลเอ็นต์ของแอพลิเคชันถูกลบ |
| 4668 | โปรแกรมประยุกต์ถูกเตรียมใช้งาน |
subcategory: บริการการรับรอง
| หมายเลข | ข้อความ |
|---|---|
| 4868 | ตัวจัดการใบรับรองปฏิเสธการร้องขอใบรับรองที่ค้างอยู่ |
| 4869 | บริการการรับรองได้รับการร้องขอใบรับรอง resubmitted |
| 4870 | ใบรับรองบริการเพิกถอนใบรับรอง |
| 4871 | บริการการรับรองได้รับการร้องขอการประกาศรายการการเพิกถอนใบรับรอง (CRL) |
| 4872 | รายการการเพิกถอนใบรับรอง (CRL) การเผยแพร่บริการใบรับรอง |
| 4873 | ส่วนขยายการร้องขอใบรับรองการเปลี่ยนแปลง |
| 4874 | คุณลักษณะที่ร้องขอใบรับรองอย่าง น้อยหนึ่งการเปลี่ยนแปลง |
| 4875 | บริการการรับรองได้รับการร้องขอการปิดระบบ |
| 4876 | การสำรองข้อมูลใบรับรองบริการเริ่มต้น |
| 4877 | ใบรับรองบริการการสำรองข้อมูลเสร็จสมบูรณ์ |
| 4878 | ใบรับรองการกู้คืนการบริการที่เริ่มต้น |
| 4879 | ใบรับรองการคืนค่าการบริการที่เสร็จสมบูรณ์ |
| 4880 | ใบรับรองบริการเริ่มต้น |
| 4881 | ใบรับรองบริการหยุดทำงาน |
| 4882 | การเปลี่ยนแปลงสิทธิ์ด้านความปลอดภัยสำหรับ Certificate Services |
| 4883 | ใบรับรองบริการเรียกข้อมูลคีย์การเก็บถาวร |
| 4884 | ใบรับรองบริการนำเข้าใบรับรองลงในฐานข้อมูลนั้น |
| 4885 | การเปลี่ยนแปลงตัวกรองการตรวจสอบสำหรับ Certificate Services |
| 4886 | บริการการรับรองได้รับการร้องขอใบรับรอง |
| 4887 | บริการของใบรับรองอนุมัติคำขอใบรับรอง และออกใบรับรอง |
| 4888 | บริการของใบรับรองปฏิเสธการร้องขอใบรับรอง |
| 4889 | ใบรับรองบริการกำหนดสถานะของการร้องขอใบรับรองการรอค้างอยู่ |
| 4890 | การเปลี่ยนแปลงการตั้งค่าของตัวจัดการใบรับรองสำหรับ Certificate Services |
| 4891 | รายการการกำหนดค่าการเปลี่ยนแปลงใน Certificate Services |
| 4892 | การเปลี่ยนแปลงคุณสมบัติของ Certificate Services |
| 4893 | ใบรับรองการบริการที่เก็บถาวรคีย์ |
| 4894 | บริการของใบรับรองนำเข้ามา และมีคีย์ที่เก็บถาวร |
| 4895 | ใบรับรองบริการประกาศใบรับรอง CA กับบริการโดเมน active Directory ที่ใช้งานอยู่ |
| 4896 | หนึ่งแถว หรือมากกว่าได้ถูกลบจากฐานข้อมูลใบรับรอง |
| 4897 | separation บทบาทที่เปิดใช้งาน: |
| 4898 | ใบรับรองบริการโหลดแม่แบบ |
| 4899 | เท็มเพล Certificate Services ได้รับการปรับปรุง |
| 4900 | มีการปรับปรุงความปลอดภัยแม่แบบใบรับรองที่บริการ |
| 5120 | บริการ Responder ocsp ที่เริ่มต้น |
| 5121 | ocsp Responder บริการหยุดทำงาน |
| 5122 | การตั้งค่าคอนฟิกรายการบัญชีในการเปลี่ยนแปลงในบริการ Responder OCSP |
| 5123 | รายการการกำหนดค่าการเปลี่ยนแปลงในบริการ Responder OCSP |
| 5124 | การตั้งค่าการรักษาความปลอดภัยมีการปรับปรุงในบริการ Responder OCSP |
| 5125 | การร้องขอถูกส่งไปยังบริการ Responder OCSP |
| 5126 | ใบรับรองการเซ็นชื่อปรับปรุงได้โดยอัตโนมัติ โดยบริการการ Responder OCSP |
| 5127 | ผู้ให้บริการการเพิกถอน OCSP เสร็จเรียบร้อยแล้วการปรับปรุงข้อมูลการเพิกถอน |
subcategory: การใช้ร่วมกันแฟ้ม
| หมายเลข | ข้อความ |
|---|---|
| 5140 | มีการเข้าถึงวัตถุการแชร์เครือข่าย |
subcategory: ระบบแฟ้ม
| หมายเลข | ข้อความ |
|---|---|
| 4664 | มีความพยายามในการสร้างการเชื่อมโยงที่ฮาร์ |
| 4985 | มีการเปลี่ยนแปลงสถานะของธุรกรรม |
| 5051 | แฟ้มถูก virtualized |
subcategory: การกรองแพลตฟอร์มในการเชื่อมต่อ
| หมายเลข | ข้อความ |
|---|---|
| 5031 | การบริการไฟร์วอลล์ Windows บล็อกโปรแกรมประยุกต์จากการยอมรับการเชื่อมต่อขาเข้าบนเครือข่าย |
| 5154 | แพลตฟอร์มที่กรอง Windows ได้รับอนุญาตการให้โปรแกรมประยุกต์หรือบริการฟังบนพอร์ตสำหรับการเชื่อมต่อขาเข้า |
| 5155 | แพลตฟอร์มที่กรอง Windows ได้บล็อกโปรแกรมประยุกต์หรือบริการจากการฟังบนพอร์ตสำหรับการเชื่อมต่อขาเข้า |
| 5156 | แพลตฟอร์มที่กรอง Windows ได้อนุญาตให้ใช้การเชื่อมต่อ |
| 5157 | แพลตฟอร์มที่กรอง Windows ได้บล็อกการเชื่อมต่อ |
| 5158 | แพลตฟอร์มที่กรอง Windows ได้ได้รับอนุญาตในการผูกเข้ากับพอร์ตในเครื่อง |
| 5159 | แพลตฟอร์มที่กรอง Windows ได้บล็อกการผูกเข้ากับพอร์ตในเครื่อง |
subcategory: กรองการฝาก Packet แพลทฟอร์ม
| หมายเลข | ข้อความ |
|---|---|
| 5152 | แพลตฟอร์มที่กรอง Windows ถูกบล็อกแพคเก็ต |
| 5153 | ตัวกรองจำกัดมากขึ้นของแพลตฟอร์มที่กรอง Windows ได้บล็อกแพคเก็ต |
subcategory: Manipulation จัดการ
| หมายเลข | ข้อความ |
|---|---|
| 4656 | หมายเลขอ้างอิงไปยังวัตถุที่ถูกร้องขอ |
| 4658 | หมายเลขอ้างอิงไปยังวัตถุถูกปิด |
| 4690 | มีความพยายามที่จะทำซ้ำหมายเลขอ้างอิงไปยังวัตถุ |
subcategory: เพิ่มวัตถุเข้าถึงเหตุการณ์
| หมายเลข | ข้อความ |
|---|---|
| 4671 | โปรแกรมประยุกต์ที่คุณได้พยายามเข้าถึง ordinal ที่ถูกบล็อคผ่าน TBS. |
| 4691 | ร้องขอการเข้าถึงวัตถุทางอ้อม |
| 4698 | จัดตารางงานถูกสร้างขึ้น |
| 4699 | จัดตารางงานที่ถูกลบ |
| 4700 | จัดตารางงานถูกเปิดใช้งาน |
| 4701 | งานที่กำหนดเวลาไว้ถูกปิดการใช้งาน |
| 4702 | มีการปรับปรุงตามตารางเวลางาน |
| 5888 | วัตถุในแค็ตตาล็อก COM + ที่ถูกปรับเปลี่ยน |
| 5889 | วัตถุที่ถูกลบออกจากแค็ตตาล็อก COM + |
| 5890 | วัตถุถูกเพิ่มไปยังแค็ตตาล็อก COM + |
subcategory: รีจิสทรี
| หมายเลข | ข้อความ |
|---|---|
| 4657 | มีการปรับเปลี่ยนค่ารีจิสทรี |
| 5039 | รีจิสทรีคีย์ที่ถูก virtualized |
subcategory:Subcategory Multi-use พิเศษ
หมายเหตุ:เหตุการณ์ต่อไปนี้อาจถูกสร้างขึ้น โดยตัวจัดการทรัพยากรต่าง ๆ เมื่อ subcategory การเปิดใช้งาน ตัวอย่างเช่น เหตุการณ์ต่อไปนี้อาจถูกสร้างขึ้น โดยตัวจัดการทรัพยากรของรีจิสทรี หรือ โดยตัวจัดการทรัพยากรของระบบแฟ้ม ประเภทย่อย "วัตถุการเข้าถึง:เคอร์เนลวัตถุ" และ "วัตถุการเข้าถึง: SAM" เป็นตัวอย่างของประเภทย่อยที่ใช้เหตุการณ์เหล่านี้โดยเฉพาะ| หมายเลข | ข้อความ |
|---|---|
| 4659 | หมายเลขอ้างอิงไปยังวัตถุที่ถูกร้องขอกับการปรับค่าลบ |
| 4660 | วัตถุที่ถูกลบ |
| 4661 | หมายเลขอ้างอิงไปยังวัตถุที่ถูกร้องขอ |
| 4663 | มีความพยายามในการเข้าถึงวัตถุ |
ประเภท: การเปลี่ยนแปลงนโยบาย
subcategory: การเปลี่ยนแปลงนโยบายการตรวจสอบ
| หมายเลข | ข้อความ |
|---|---|
| 4715 | ตรวจสอบนโยบาย (SACL) บนวัตถุที่ถูกเปลี่ยนแปลง |
| 4719 | นโยบายการตรวจสอบระบบมีการเปลี่ยนแปลง |
| 4902 | สร้างตารางนโยบายการตรวจสอบผู้ใช้ต่อ |
| 4904 | มีความพยายามในการลงทะเบียนกับแหล่งเหตุการณ์การรักษาความปลอดภัย |
| 4905 | มีความพยายามในการถอนการลงทะเบียนกับแหล่งเหตุการณ์การรักษาความปลอดภัย |
| 4906 | มีการเปลี่ยนแปลงค่า CrashOnAuditFail |
| 4907 | ตรวจสอบการตั้งค่าบนวัตถุที่ถูกเปลี่ยนแปลง |
| 4908 | พิเศษการเข้าสู่ระบบกลุ่มตารางปรับเปลี่ยน |
| 4912 | สำหรับแต่ละนโยบายการตรวจสอบผู้ใช้ถูกเปลี่ยนแปลง |
subcategory: การเปลี่ยนแปลงนโยบายการรับรองความถูกต้อง
| หมายเลข | ข้อความ |
|---|---|
| 4706 | มีความน่าเชื่อถือใหม่ถูกสร้างในโดเมน |
| 4707 | ความน่าเชื่อถือกับโดเมนถูกเอาออก |
| 4713 | นโยบาย kerberos ถูกเปลี่ยนแปลง |
| 4716 | มีการปรับเปลี่ยนข้อมูลโดเมนที่เชื่อถือ |
| 4717 | ระบบการเข้าถึงการรักษาความปลอดภัยให้กับบัญชีผู้ใช้ |
| 4718 | การเข้าถึงการรักษาความปลอดภัยระบบถูกเอาออกจากบัญชีผู้ใช้ |
| 4864 | ตรวจพบการชน namespace |
| 4865 | มีเพิ่มรายการข้อมูลเชื่อถือได้ของฟอเรสต์ |
| 4866 | รายการข้อมูลเชื่อถือได้ของฟอเรสต์ถูกเอาออก |
| 4867 | รายการข้อมูลเชื่อถือฟอเรสต์ถูกปรับเปลี่ยน |
subcategory: การเปลี่ยนแปลงนโยบายการอนุญาต
| หมายเลข | ข้อความ |
|---|---|
| 4704 | ผู้ใช้ที่ถูกต้องถูกกำหนดให้ |
| 4705 | ผู้ใช้ที่ถูกต้องถูกเอาออก |
| 4714 | นโยบายการกู้คืนข้อมูลที่เข้ารหัสลับถูกเปลี่ยนแปลง |
subcategory: การเปลี่ยนแปลงนโยบายแพลตฟอร์มที่การกรอง
| หมายเลข | ข้อความ |
|---|---|
| 4709 | ipsec บริการถูกเริ่มต้น |
| 4710 | บริการ ipsec ถูกปิดการใช้งาน |
| 4711 | อาจประกอบด้วยใดอย่างหนึ่งต่อไปนี้:
|
| 4712 | บริการ ipsec พบความล้มเหลวอาจร้ายแรง |
| 5040 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec ชุดการรับรองความถูกต้องถูกเพิ่ม |
| 5041 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec ชุดการรับรองความถูกต้องถูกปรับเปลี่ยน |
| 5042 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec ชุดการรับรองความถูกต้องถูกลบ |
| 5043 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec มีเพิ่มกฎสำหรับการรักษาความปลอดภัยการเชื่อมต่อ |
| 5044 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec กฎความปลอดภัยของการเชื่อมต่อถูกปรับเปลี่ยน |
| 5045 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec กฎความปลอดภัยของการเชื่อมต่อที่ถูกลบ |
| 5046 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec ตั้งค่าการเข้ารหัสลับถูกเพิ่ม |
| 5047 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec ตั้งค่าการเข้ารหัสลับถูกปรับเปลี่ยน |
| 5048 | มีการทำการเปลี่ยนแปลงการตั้งค่า IPsec ตั้งค่าการเข้ารหัสลับถูกลบ |
| 5440 | คำบรรยายภาพต่อไปนี้ไม่ปรากฏขึ้นเมื่อเริ่มการทำงานใน Windows การกรองแพลตฟอร์มที่ฐานการกรองโปรแกรม |
| 5441 | ตัวกรองต่อไปนี้ไม่ปรากฏขึ้นเมื่อเริ่มการทำงานใน Windows การกรองแพลตฟอร์มที่ฐานการกรองโปรแกรม |
| 5442 | ผู้ให้บริการต่อไปนี้ไม่ปรากฏขึ้นเมื่อเริ่มการทำงานใน Windows การกรองแพลตฟอร์มที่ฐานการกรองโปรแกรม |
| 5443 | บริบทผู้ให้บริการต่อไปนี้ไม่ปรากฏขึ้นเมื่อเริ่มการทำงานใน Windows การกรองแพลตฟอร์มที่ฐานการกรองโปรแกรม |
| 5444 | sub-layer ที่ต่อไปนี้ไม่ปรากฏขึ้นเมื่อเริ่มการทำงานใน Windows การกรองแพลตฟอร์มที่ฐานการกรองโปรแกรม |
| 5446 | คำบรรยายภาพแบบเป็นแพลตฟอร์มที่กรอง Windows ถูกเปลี่ยนแปลง |
| 5448 | ผู้ให้บริการของ Windows ในการกรอง Platform ถูกเปลี่ยนแปลง |
| 5449 | บริบทผู้ให้บริการเป็นแพลตฟอร์มที่กรอง Windows ถูกเปลี่ยนแปลง |
| 5450 | sub-layer แพลตฟอร์มที่กรอง Windows ที่มีการเปลี่ยนแปลง |
| 5456 | PAStore โปรแกรมใช้เก็บข้อมูล Active Directory นโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5457 | ไม่สามารถใช้เก็บข้อมูล Active Directory นโยบาย IPsec บนเครื่องคอมพิวเตอร์ PAStore โปรแกรม |
| 5458 | PAStore โปรแกรมใช้สำเนาเก็บในแคชภายในการเก็บข้อมูล Active Directory นโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5459 | ไม่สามารถใช้สำเนาเก็บในแคชภายในการเก็บข้อมูล Active Directory นโยบาย IPsec บนเครื่องคอมพิวเตอร์ PAStore โปรแกรม |
| 5460 | PAStore โปรแกรมใช้เก็บข้อมูลรีจิสทรีภายในนโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5461 | ไม่สามารถใช้เก็บข้อมูลรีจิสทรีภายในนโยบาย IPsec บนเครื่องคอมพิวเตอร์ PAStore โปรแกรม |
| 5462 | PAStore โปรแกรมไม่สามารถใช้กฎบางอย่างของนโยบาย IPsec ที่ใช้งานอยู่บนคอมพิวเตอร์ ใช้สแน็ปอินตัวตรวจสอบความปลอดภัยของ IP การวินิจฉัยปัญหา |
| 5463 | โปรแกรม PAStore สำรวจสำหรับการเปลี่ยนแปลงนโยบาย IPsec ที่ใช้งานอยู่ และมีการเปลี่ยนแปลงที่ตรวจพบ |
| 5464 | โปรแกรม PAStore สำรวจสำหรับการเปลี่ยนแปลงนโยบาย IPsec ที่ใช้งานอยู่ ตรวจพบการเปลี่ยนแปลง และนำไปใช้กับ IPsec บริการ |
| 5465 | โปรแกรม PAStore รับตัวควบคุมสำหรับ reloading บังคับนโยบาย IPsec และประมวลผลตัวควบคุมเรียบร้อยแล้ว |
| 5466 | โปรแกรม PAStore สำรวจสำหรับการเปลี่ยนแปลงนโยบาย IPsec ไดเรกทอรีที่ใช้งาน ระบุว่า ไม่สามารถเข้าถึง Active Directory ไม่ และจะใช้สำเนาที่เก็บไว้ชั่วคราวของนโยบาย IPsec ไดเรกทอรีที่ใช้งานอยู่แทน เปลี่ยนแปลงใด ๆ เกิดขึ้นกับนโยบาย IPsec ไดเรกทอรีที่ใช้งานอยู่เนื่องจากไม่สามารถใช้โพลที่สุดท้าย |
| 5467 | โปรแกรม PAStore สำรวจสำหรับการเปลี่ยนแปลงนโยบาย IPsec ไดเรกทอรีที่ใช้งานอยู่ กำหนดว่า Active Directory สามารถไปถึง และพบไม่มีการเปลี่ยนแปลงนโยบาย สำเนาที่เก็บไว้ชั่วคราวของนโยบาย IPsec ไดเรกทอรีที่ใช้งานอยู่จะไม่ถูกใช้งาน |
| 5468 | โปรแกรม PAStore สำรวจสำหรับการเปลี่ยนแปลงนโยบาย IPsec ไดเรกทอรีที่ใช้งาน กำหนดว่า Active Directory สามารถถูกเข้าถึง พบการเปลี่ยนแปลงนโยบาย และใช้การเปลี่ยนแปลงดังกล่าว สำเนาที่เก็บไว้ชั่วคราวของนโยบาย IPsec ไดเรกทอรีที่ใช้งานอยู่จะไม่ถูกใช้งาน |
| 5471 | โปรแกรม PAStore โหลดเก็บภายในนโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5472 | โปรแกรม PAStore ล้มเหลวในการโหลดที่เก็บภายในนโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5473 | โปรแกรม PAStore โหลดไดเรกทอรีที่เก็บนโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5474 | โปรแกรม PAStore ล้มเหลวในการโหลดไดเรกทอรีที่เก็บนโยบาย IPsec บนเครื่องคอมพิวเตอร์ |
| 5477 | โปรแกรม PAStore ล้มเหลวในการเพิ่มตัวกรองของโหมดรวดเร็ว |
subcategory: การเปลี่ยนแปลงนโยบาย MPSSVC กฎระดับ
| หมายเลข | ข้อความ |
|---|---|
| 4944 | นโยบายต่อไปนี้ถูกใช้งานอยู่เมื่อเริ่มการทำงาน Windows Firewall |
| 4945 | กฎถูกแสดงไว้เมื่อเริ่มการทำงาน Windows Firewall |
| 4946 | การเปลี่ยนแปลงที่ถูกทำให้รายการยกเว้นของไฟร์วอลล์ Windows มีเพิ่มกฎ |
| 4947 | การเปลี่ยนแปลงที่ถูกทำให้รายการยกเว้นของไฟร์วอลล์ Windows กฎถูกปรับเปลี่ยน |
| 4948 | การเปลี่ยนแปลงที่ถูกทำให้รายการยกเว้นของไฟร์วอลล์ Windows กฎถูกลบ |
| 4949 | การตั้งค่าไฟร์วอลล์ windows ถูกคืนค่าเป็นค่าเริ่มต้น |
| 4950 | มีการเปลี่ยนแปลงการตั้งค่าไฟร์วอลล์ Windows |
| 4951 | กฎได้ถูกละเว้นเนื่องจากหมายเลขของเวอร์ชันที่สำคัญไม่เป็นที่รู้จัก โดยไฟร์วอลล์ Windows |
| 4952 | ส่วนของกฎได้ถูกละเว้นเนื่องจากหมายเลขรุ่นรองไม่เป็นที่รู้จัก โดยไฟร์วอลล์ Windows จะถูกใช้กับส่วนอื่น ๆ ของกฎ |
| 4953 | ได้ถูกละเว้นกฎ โดยไฟร์วอลล์ Windows ได้เนื่องจากคุณไม่สามารถแยกวิเคราะห์กฎ |
| 4954 | มีการเปลี่ยนแปลงการตั้งค่า windows Firewall Group Policy มีการใช้การตั้งค่าใหม่ |
| 4956 | ไฟร์วอลล์ windows ได้ทำการเปลี่ยนแปลงส่วนกำหนดค่าที่ใช้งานอยู่ |
| 4957 | ไฟร์วอลล์ windows ไม่ได้ใช้กฎต่อไปนี้: |
| 4958 | ไฟร์วอลล์ windows ไม่ได้ใช้กฎต่อไปนี้ได้เนื่องจากกฎที่อ้างอิงถึงรายการที่ไม่ได้กำหนดค่าบนคอมพิวเตอร์เครื่องนี้: |
| 5050 | ความพยายามที่จะโดยทางโปรแกรมปิดการใช้งาน Windows Firewall โดยใช้อินเทอร์เฟซ INetFwProfile.FirewallEnabled(FALSE) การเรียกถูกปฏิเสธเนื่องจากไม่มีสนับสนุน API นี้ใน Windows Vista นี้เป็นไปได้มากที่สุดได้เกิดขึ้นเนื่องจากโปรแกรมที่เข้ากันไม่ได้กับ Windows Vista การ โปรดติดต่อผู้ผลิตโปรแกรมจะตรวจสอบให้แน่ใจว่า คุณมีโปรแกรมที่เข้ากันได้รุ่น Windows Vista |
subcategory: เพิ่มนโยบายการเปลี่ยนแปลงเหตุการณ์
| หมายเลข | ข้อความ |
|---|---|
| 4909 | การตั้งค่านโยบายภายในเครื่องสำหรับ TBS ถูกเปลี่ยนแปลง |
| 4910 | ตั้งค่านโยบายกลุ่มสำหรับ TBS ถูกเปลี่ยนแปลง |
| 5063 | ความพยายามดำเนินการให้บริการการเข้ารหัสลับ |
| 5064 | ความพยายามดำเนินการเข้ารหัสลับบริบท |
| 5065 | ความพยายามปรับเปลี่ยนในบริบทที่เข้ารหัสลับ |
| 5066 | ความพยายามดำเนินการฟังก์ชันที่เข้ารหัสลับ |
| 5067 | ความพยายามปรับเปลี่ยนการฟังก์ชันที่เข้ารหัสลับ |
| 5068 | ความพยายามดำเนินการให้บริการของฟังก์ชันที่เข้ารหัสลับ |
| 5069 | ความพยายามดำเนินการคุณสมบัติฟังก์ชันที่เข้ารหัสลับ |
| 5070 | ความพยายามปรับเปลี่ยนคุณสมบัติของฟังก์ชันที่เข้ารหัสลับ |
| 5447 | ตัวกรองแพลตฟอร์มที่กรอง Windows ถูกเปลี่ยนแปลง |
| 6144 | นโยบายการรักษาความปลอดภัยในวัตถุของนโยบายกลุ่มได้ถูกใช้เรียบร้อยแล้ว |
| 6145 | อย่าง น้อยหนึ่งข้อผิดพลาดเกิดขึ้นขณะกำลังประมวลผลนโยบายการรักษาความปลอดภัยในวัตถุของนโยบายกลุ่ม |
subcategory:Subcategory Multi-use พิเศษ
หมายเหตุ:เหตุการณ์ต่อไปนี้อาจถูกสร้างขึ้น โดยตัวจัดการทรัพยากรต่าง ๆ เมื่อ subcategory การเปิดใช้งาน ตัวอย่างเช่น เหตุการณ์ต่อไปนี้อาจถูกสร้างขึ้น โดยตัวจัดการทรัพยากรของรีจิสทรี หรือ โดยตัวจัดการทรัพยากรของระบบแฟ้ม| หมายเลข | ข้อความ |
|---|---|
| 4670 | สิทธิ์บนวัตถุที่ถูกเปลี่ยนแปลง |
ประเภท: ใช้สิทธิ์
ใช้สิทธิ์ตรงตาม subcategory: / ไม่ใช่ Sensitive สิทธิ์ใช้
| หมายเลข | ข้อความ |
|---|---|
| 4672 | สิทธิ์พิเศษที่กำหนดให้กับการเข้าสู่ระบบใหม่ |
| 4673 | มีเรียกการบริการ privileged |
| 4674 | ความพยายามดำเนินการบนวัตถุที่ privileged |
ประเภท: ระบบ
subcategory: โปรแกรมควบคุม IPsec
| หมายเลข | ข้อความ |
|---|---|
| 4960 | ipsec ตกหายแพคเก็ตขาเข้าที่ล้มเหลวของการตรวจสอบความถูกต้อง หากปัญหานี้ยังคงมีอยู่ ดังกล่าวอาจระบุว่า มีปัญหาเครือข่ายหรือแพ็คเก็ตที่กำลังถูกปรับเปลี่ยนในการส่งต่อกับคอมพิวเตอร์เครื่องนี้ ตรวจสอบว่า กลุ่มข้อมูลที่ส่งจากคอมพิวเตอร์ระยะไกลเหมือนที่ได้รับ โดยคอมพิวเตอร์เครื่องนี้ ข้อผิดพลาดนี้ยังอาจบ่งชี้ implementations IPsec อื่น ๆ เกี่ยวกับการทำงานร่วมกัน |
| 4961 | ipsec ตกหายแพคเก็ตขาเข้าที่ล้มเหลวของการตรวจสอบ replay หากปัญหานี้ยังคงมีอยู่ ดังกล่าวอาจระบุว่า การโจมตี replay กับคอมพิวเตอร์เครื่องนี้ |
| 4962 | ipsec ตกหายแพคเก็ตขาเข้าที่ล้มเหลวของการตรวจสอบ replay แพคเก็ตขาเข้ามีหมายเลขลำดับต่ำเกินไปเพื่อให้แน่ใจว่า ไม่มี replay |
| 4963 | ipsec ตกหายแพ็คเก็ตข้อความขาเข้าที่ชัดเจนที่ควรได้รับปลอดภัย โดยทั่วไปนี้ได้เนื่องจากการเปลี่ยนแปลงของนโยบาย IPsec โดยไม่ต้องแจ้งให้ทราบคอมพิวเตอร์นี้คอมพิวเตอร์ระยะไกล นี้ยังอาจมีความพยายามในการโจมตี spoofing |
| 4965 | ipsec รับแพคเก็ตจากคอมพิวเตอร์ระยะไกลโดยไม่ถูกต้องรักษาความปลอดภัยพารามิเตอร์ดัชนี (SPI) ซึ่งมักมีสาเหตุจากฮาร์ดแวร์การชำรุดที่เป็น corrupting แพ็คเก็ต ข้อผิดพลาดเหล่านี้ยืนยัน ตรวจสอบว่า กลุ่มข้อมูลที่ส่งจากคอมพิวเตอร์ระยะไกลเป็นเหมือนที่ได้รับ โดยคอมพิวเตอร์เครื่องนี้ ข้อผิดพลาดนี้อาจจะระบุ implementations IPsec อื่น ๆ เกี่ยวกับการทำงานร่วมกัน ในกรณี ถ้าไม่ได้ impeded การเชื่อมต่อ แล้วเหตุการณ์เหล่านี้สามารถถูกละเว้น |
| 5478 | บริการ ipsec ได้เริ่มต้นเรียบร้อยแล้ว |
| 5479 | บริการ ipsec ได้ปิดสำเร็จ ปิดการทำงานของบริการ IPsec สามารถตั้งคอมพิวเตอร์ให้อยู่ในภาวะเสี่ยงมากกว่าของการโจมตีเครือข่าย หรือคอมพิวเตอร์อาจเกิดความเสี่ยงด้านการรักษาความปลอดภัยที่แสดงถึง |
| 5480 | บริการของ ipsec ไม่สามารถเรียกรายการทั้งหมดของอินเทอร์เฟซเครือข่ายบนคอมพิวเตอร์ นี่ poses ความเสี่ยงต่อความปลอดภัยที่อาจเกิดขึ้นเนื่องจากอินเทอร์เฟซเครือข่ายบางอย่างอาจไม่รับการป้องกันที่ให้ไว้ โดยตัวกรอง IPsec นำไปใช้ ใช้สแน็ปอินตัวตรวจสอบความปลอดภัยของ IP การวินิจฉัยปัญหา |
| 5483 | บริการของ ipsec ล้มเหลวในการเตรียมใช้งานเซิร์ฟเวอร์ RPC ไม่สามารถเริ่มบริการ ipsec |
| 5484 | บริการ ipsec ได้พบความล้มเหลวที่สำคัญ และได้ปิด ปิดการทำงานของบริการ IPsec สามารถตั้งคอมพิวเตอร์ให้อยู่ในภาวะเสี่ยงมากกว่าของการโจมตีเครือข่าย หรือคอมพิวเตอร์อาจเกิดความเสี่ยงด้านการรักษาความปลอดภัยที่แสดงถึง |
| 5485 | บริการของ ipsec ล้มเหลวในการประมวลผลบางตัวกรอง IPsec บนเหตุการณ์การปลั๊ก และเล่นกับอินเทอร์เฟซเครือข่าย นี่ poses ความเสี่ยงต่อความปลอดภัยที่อาจเกิดขึ้นเนื่องจากอินเทอร์เฟซเครือข่ายบางอย่างอาจไม่รับการป้องกันที่ให้ไว้ โดยตัวกรอง IPsec นำไปใช้ ใช้สแน็ปอินตัวตรวจสอบความปลอดภัยของ IP การวินิจฉัยปัญหา |
subcategory: อื่นระบบเหตุการณ์
| หมายเลข | ข้อความ |
|---|---|
| 5024 | การบริการไฟร์วอลล์ Windows ได้เริ่มต้นเรียบร้อยแล้ว |
| 5025 | การบริการไฟร์วอลล์ Windows ถูกหยุดไว้ |
| 5027 | การบริการไฟร์วอลล์ Windows ไม่สามารถเรียกข้อมูลนโยบายความปลอดภัยจากการจัดเก็บภายใน บริการจะดำเนินการการบังคับใช้นโยบายปัจจุบัน |
| 5028 | การบริการไฟร์วอลล์ Windows ไม่สามารถแยกวิเคราะห์นโยบายความปลอดภัยใหม่ บริการจะดำเนินต่อกับนโยบาย enforced ในขณะนี้ |
| 5029 | การบริการไฟร์วอลล์ Windows ไม่สามารถเตรียมใช้งานโปรแกรมควบคุม บริการจะดำเนินต่อเพื่อบังคับใช้นโยบายปัจจุบัน |
| 5030 | การบริการไฟร์วอลล์ Windows ไม่สามารถเริ่มต้น |
| 5032 | ไฟร์วอลล์ windows ไม่สามารถแจ้งให้ผู้ใช้จะบล็อกโปรแกรมประยุกต์จากการยอมรับการเชื่อมต่อขาเข้าบนเครือข่าย |
| 5033 | โปรแกรมควบคุมของไฟร์วอลล์ Windows ได้เริ่มต้นเรียบร้อยแล้ว |
| 5034 | โปรแกรมควบคุมของไฟร์วอลล์ Windows ถูกหยุดไว้ |
| 5035 | โปรแกรมควบคุมของไฟร์วอลล์ Windows ไม่สามารถเริ่มต้น |
| 5037 | โปรแกรมควบคุมของไฟร์วอลล์ Windows ตรวจพบข้อผิดพลาดรันไทม์สำคัญ หยุดงาน |
| 5058 | การดำเนินการแฟ้มคีย์ |
| 5059 | การดำเนินการในการโยกย้ายคีย์ |
subcategory: การเปลี่ยนแปลงสถานะความปลอดภัย
| หมายเลข | ข้อความ |
|---|---|
| 4608 | windows กำลังเริ่มต้น |
| 4616 | เวลาของระบบมีการเปลี่ยนแปลง |
| 4621 | ผู้ดูแลกู้คืนระบบจาก CrashOnAuditFail ผู้ใช้ที่ไม่ใช่ผู้ดูแลในขณะนี้จะได้รับอนุญาตเข้าสู่ระบบ กิจกรรม auditable บางอย่างอาจไม่ได้ถูกบันทึกไว้ |
subcategory: ส่วนขยายระบบการรักษาความปลอดภัย
| หมายเลข | ข้อความ |
|---|---|
| 4610 | แพคเกจการรับรองความถูกต้องที่ได้ถูกโหลด โดยการรับรองความปลอดภัยท้องถิ่น |
| 4611 | กระบวนการเข้าสู่ระบบที่เชื่อถือได้มีการลงทะเบียน ด้วยการรับรองความปลอดภัยท้องถิ่น |
| 4614 | แพคเกจการแจ้งเตือนได้ถูกโหลดโดยการรักษาความปลอดภัยบัญชี Manager |
| 4622 | แพคเกจความปลอดภัยที่ได้ถูกโหลด โดยการรับรองความปลอดภัยท้องถิ่น |
| 4697 | บริการถูกติดตั้งในระบบ |
subcategory: ความสอดคล้องของระบบ
| หมายเลข | ข้อความ |
|---|---|
| 4612 | หมดทรัพยากรที่ปันส่วนสำหรับการจัดคิวข้อความการตรวจสอบภายในได้รับแล้ว เลขนำหน้าการสูญเสีย audits บางอย่าง |
| 4615 | การใช้ที่ไม่ถูกต้องของพอร์ต LPC |
| 4618 | รูปแบบเหตุการณ์การรักษาความปลอดภัยที่ถูกตรวจสอบเกิดขึ้น |
| 4816 | rpc ตรวจพบการละเมิดความถูกต้องในขณะที่การถอดรหัสลับข้อความขาเข้า |
| 5038 | ความสมบูรณ์ของรหัสระบุว่า แฮรูปแบบของแฟ้มไม่ถูกต้อง แฟ้มอาจเสียหายเนื่องจากการปรับเปลี่ยนที่ไม่ได้รับอนุญาต หรือแฮชไม่ถูกต้องอาจบ่งชี้ข้อผิดพลาดอุปกรณ์ดิสก์ที่อาจเกิดขึ้น |
| 5056 | ทำการทดสอบ self ที่เข้ารหัสลับ |
| 5057 | การดำเนินการ primitive การเข้ารหัสลับล้มเหลว |
| 5060 | การดำเนินการตรวจสอบความล้มเหลว |
| 5061 | การดำเนินการเข้ารหัสลับ |
| 5062 | ในโหมดเคอร์เนลเองทดสอบการเข้ารหัสลับถูกทำ |
- การส่งคืนสินค้าเพิ่มเติมรายละเอียดเกี่ยวกับรายการของการตรวจสอบความปลอดภัยเหตุการณ์รายการทั้งหมด การเรียกใช้คำสั่งต่อไปนี้ที่พรอมต์คำสั่งยกระดับในฐานะผู้ดูแล:/gm:true /ge gp ตรวจ Microsoft-Windows-ความปลอดภัยสอบ wevtutilตัวอย่างต่อไปนี้แสดงเป็นส่วนหนึ่งของการแสดงผล:
event: value: 4706 version: 0 opcode: 0 channel: 10 level: 4 task: 0 keywords: 0x8000000000000000 message: A new trust was created to a domain. Subject: Security ID: Security ID Account Name: Account Name Account Domain: Account Domain Logon ID: Logon ID Trusted Domain: Domain Name: Domain Name Domain ID: Domain ID Trust Information: Trust Type: Trust Type Trust Direction: Trust Direction Trust Attributes: Trust Attributes SID Filtering: SID Filtering
- การกลับรายการทั้งหมดตรวจสอบความปลอดภัยประเภทและประเภทย่อย รันคำสั่งต่อไปนี้พรอมต์คำสั่งที่ยกระดับในฐานะผู้ดูแล:auditpol /list /subcategory: *ข้อมูลจาก MicrosoftAudit Account Lockout
Updated: June 15, 2009
Applies To: Windows 7, Windows Server 2008 R2
This security policy setting allows you to audit security events generated by a failed attempt to log on to an account that is locked out.
If you configure this policy setting, an audit event is generated when an account cannot log on to a computer because the account is locked out. Success audits record successful attempts and failure audits record unsuccessful attempts.
Account lockout events are essential for understanding user activity and detecting potential attacks.
Event volume: Low
Default setting: Success
If this policy setting is configured, the following event is generated. The event appears on computers running Windows Server 2008 R2, Windows Server 2008, Windows 7, or Windows Vista.
Event ID Event message 4625
An account failed to logon.
ข้อมูลจาก Microsoft
