安全事件日志中的事件编号与描述

2024-02-01 13:08

本文主要是介绍安全事件日志中的事件编号与描述,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

帐号登录事件
(事件编号与描述)  
672  身份验证服务(AS)票证得到成功发行与验证。
673  票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos  5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。
674  安全主体重建AS票证或TGS票证。  
675  预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。
676  身份验证票证请求失败。这种事件在Windows  XP  Professional操作系统或Windows  Server产品家族成员中将不会产生。  
677  TGS票证无法得到授权。这种事件在Windows  XP  Professional操作系统或Windows  Server产品家族成员中将不会产生。
678  指定帐号成功映射到一个域帐号。  
681  登录失败。域帐号尝试进行登录。这种事件在Windows  XP  Professional操作系统或Windows  Server产品家族成员中将不会产生。
682  用户重新连接到一个已经断开连接的终端服务器会话上。  
683  用户在没有注销的情况下与终端服务器会话断开连接。


帐号管理事件
624  一个用户帐号被创建。  
627  一个用户密码被修改。  
628  一个用户密码被设置。  
630  一个用户密码被删除。  
631  一个全局组被创建。  
632  一个成员被添加到特定全局组中。  
633  一个成员从特定全局组中被删除。  
634  一个全局组被删除。  
635  一个新的本地组被创建。  
636  一个成员被添加到本地组中。  
637  一个成员从本地组中被删除。  
638  一个本地组被删除。  
639  一个本地组帐号被修改。  
641  一个全局组帐号被修改。  
642  一个用户帐号被修改。  
643  一个域策略被修改。  
644  一个用户帐号被自动锁定。  
645  一个计算机帐号被创建。  
646  一个计算机帐号被修改。  
647  一个计算机帐号被删除。  
648  一个禁用安全特性的本地安全组被创建。说明:正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。  
649  一个禁用安全特性的本地安全组被修改。  
650  一个成员被添加到一个禁用安全特性的本地安全组中。  
651  一个成员从一个禁用安全特性的本地安全组中被删除。  
652  一个禁用安全特性的本地组被删除。  
653  一个禁用安全特性的全局组被创建。  
654  一个禁用安全特性的全局组被修改。  
655  一个成员被添加到一个禁用安全特性的全局组中。  
656  一个成员从一个禁用安全特性的全局组中被删除。  
657  一个禁用安全特性的全局组被删除。  
658  一个启用安全特性的通用组被创建。  
659  一个启用安全特性的通用组被修改。  
660  一个成员被添加到一个启用安全特性的通用组中。  
661  一个成员从一个启用安全特性的通用组中被删除。  
662  一个启用安全特性的通用组被删除。  
663  一个禁用安全特性的通用组被创建。  
664  一个禁用安全特性的通用组被修改。  
665  一个成员被添加到一个禁用安全特性的通用组中。  
666  一个成员从一个禁用安全特性的通用组中被删除。  
667  一个禁用安全特性的通用组被删除。  
668  一个组类型被修改。  
684  管理组成员的安全描述符被设置。说明:在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。  
685  一个帐号名称被修改。  


审核登录事件
528  用户成功登录到计算机上。  
529  登录失败:试图使用未知用户名或带有错误密码的已知用户名进行登录。  
530  登录失败:试图在允许时间范围以外进行登录。  
531  登录失败:试图通过禁用帐号进行登录。  
532  登录失败:试图通过过期帐号进行登录。  
533  登录失败:试图通过不允许在特定计算机上进行登录的用户帐号进行登录。  
534  登录失败:用户试图通过不允许使用的密码类型进行登录。  
535  登录失败:针对指定帐号的密码已经过期。  
536  登录失败:网络登录服务未被激活。  
537  登录失败:由于其它原因导致登录失败。说明:在某些情况下,登录失败原因可能无法确定。  
538  针对某一用户的注销操作完成。  
539  登录失败:登录帐号在登录时刻已被锁定。  
540  用户成功登录到网络。  
541  本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换(IKE)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。  
542  数据通道被中断。  
543  主模式被中断。说明:这种事件可能在安全关联时间限制到期(缺省值为8小时)、策略修改或对等客户中断时发生。  
544  由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。  
545  由于Kerberos失败或密码不合法导致主模式身份验证失败。
546  由于对等客户发送非法了非法提议,IKE  安全关联建立没有成功。收到一个包含非法数据的数据包。
547  IKE握手过程中发生错误。
548  登录失败:来自信任域的安全标识符(SID)与客户端的帐号域SID不匹配。
549  登录失败:在跨域身份验证过程中,所有同非信任名称空间相对应的SID均已被过滤掉。
550  能够指示可能发生拒绝服务(DoS)攻击的通知消息。
551  用户发起注销操作。
552  用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。
682  用户重新连接到一个已经断开连接的终端服务器会话上。
683  用户在没有注销的情况下与终端服务器会话断开连接。说明:这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。
 

对象访问事件  
560  访问由一个已经存在的对象提供授权。
562  一个对象访问句柄被关闭。
563  试图打开并删除一个对象。说明:当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时,这种事件将被文件系统所使用。
564  一个保护对象被删除。
565  访问由一种已经存在的对象类型提供授权。
567  一种与句柄相关联的权限被使用。说明:一个授予特定权限(读取、写入等)的句柄被创建。当使用这个句柄时,至多针对所用到的每种权限产生一次审核。  
568  试图针对正在进行审核的文件创建硬连接。
569  身份验证管理器中的资源管理器试图创建客户端上下文。
570  客户端试图访问一个对象。说明:针对对象的每次操作尝试都将产生一个事件。
571  客户端上下文被身份验证管理器应用程序删除。
572  管理员管理器初始化应用程序。
772  证书管理器拒绝了挂起的证书申请。
773  证书服务收到重新提交的证书申请。
774  证书服务吊销了证书。
775  证书服务收到发行证书吊销列表(CRL)  的请求。
776  证书服务发行了证书吊销列表(CRL)。
777  更改了证书申请扩展。
778  更改了多个证书申请属性。
779  证书服务收到关机请求。
780  已开始证书服务备份。
781  已完成证书服务备份。
782  已开始证书服务还原。
783  已完成证书服务还原。
784  证书服务已经开始。
785  证书服务已经停止。  
786  证书服务更改的安全权限。
787  证书服务检索了存档密钥。
788  证书服务将证书导入数据库中。
789  证书服务更改的审核筛选。
790  证书服务收到证书申请。
791  证书服务批准了证书申请并颁发了证书。
792  证书服务拒绝证书申请。
793  证书服务将证书申请状态设为挂起。
794  证书服务更改的证书管理器设置
795  证书服务更改的配置项。
796  证书服务更改属性。
797  证书服务存档了密钥。
798  证书服务导入和存档了密钥。
799  证书服务将证书发行机构(CA)证书发行到Active  Directory。
800  从证书数据库删除一行或多行。
801  角色分隔被启用。

审核策略更改事件
608  用户权限已被分配。
609  用户权限已被删除。
610  与另一个域的信任关系已被创建。
611  与另一个域的信任关系已被删除。
612  审核策略已被更改。
613  Internet协议安全性(IPSec)策略代理已经启动。
614  IPSec策略代理已被禁用。
615  IPSec策略代理已被更改。
616  IPSec策略代理遇到一个潜在的严重问题。
617  Kerberos  5.0版策略已被更改。
618  经过加密的数据恢复策略已更改。
620  与另一个域的信任关系已被修改。
621  系统访问权限已被授予帐号。
622  系统访问权限已从帐号中删除。
623  审核策略以对等用户为单位进行设置。
625  审核策略以对等用户为单位进行刷新。
768  检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明:当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时,它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
769  添加了受信任的森林信息。说明:这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录,生成的所有事件消息都将被分配一个相同且唯一标识符(称作操作编号)。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
770  删除了受信任的森林信息。说明:查看编号为769的事件描述。
771  修改了受信任的森林信息。说明:查看编号为769的事件描述。
805  事件日志服务读取针对会话的安权限使用事件


权限使用事件
576  特定权限已被添加到用户访问令牌中。说明:这种事件将在用户登录时产生。
577  用户试图执行受到权限保护的系统服务操作。
578  在已经处于打开状态的受保护对象句柄上使用权限。


详细跟踪事件
592  已经创建新的过程。
593  已经退出某过程。
594  对象的句柄被重复
595  已经取得对象的间接访问权。
596  数据保护主密钥备份。说明:主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统(EFS)所使用。这种主密钥将在每次创建新增主密钥时予以备份。(缺省设置为90天。)密钥备份操作通常由域控制器执行。
597  数据保护主密钥已由恢复服务器恢复完毕。
598  审核数据已得到保护。
599  审核数据保护已取消。
600  分派给进程一个主令牌。
601  用户尝试安装服务。
602  一个计划作业已被创建。
 

面向审核系统事件的系统事件消息
512  正在启动  Windows。
513  Windows  正在关机。
514  本地安全机制机构已加载身份验证数据包。
515  受信任的登录过程已经在本地安全机制机构注册。
516  用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517  审核日志已经清除。
518  安全帐户管理器已经加载通知数据包。
519  一个过程正在试图通过无效本地过程调用(LPC)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520  系统时间已更改。说明:这种审核操作通常成对出现。

这篇关于安全事件日志中的事件编号与描述的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/667377

相关文章

C#如何动态创建Label,及动态label事件

《C#如何动态创建Label,及动态label事件》:本文主要介绍C#如何动态创建Label,及动态label事件,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录C#如何动态创建Label,及动态label事件第一点:switch中的生成我们的label事件接着,

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

golang 日志log与logrus示例详解

《golang日志log与logrus示例详解》log是Go语言标准库中一个简单的日志库,本文给大家介绍golang日志log与logrus示例详解,感兴趣的朋友一起看看吧... 目录一、Go 标准库 log 详解1. 功能特点2. 常用函数3. 示例代码4. 优势和局限二、第三方库 logrus 详解1.

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

SpringBoot项目使用MDC给日志增加唯一标识的实现步骤

《SpringBoot项目使用MDC给日志增加唯一标识的实现步骤》本文介绍了如何在SpringBoot项目中使用MDC(MappedDiagnosticContext)为日志增加唯一标识,以便于日... 目录【Java】SpringBoot项目使用MDC给日志增加唯一标识,方便日志追踪1.日志效果2.实现步

SQL Server清除日志文件ERRORLOG和删除tempdb.mdf

《SQLServer清除日志文件ERRORLOG和删除tempdb.mdf》数据库再使用一段时间后,日志文件会增大,特别是在磁盘容量不足的情况下,更是需要缩减,以下为缩减方法:如果可以停止SQLSe... 目录缩减 ERRORLOG 文件(停止服务后)停止 SQL Server 服务:找到错误日志文件:删除

Python Excel实现自动添加编号

《PythonExcel实现自动添加编号》这篇文章主要为大家详细介绍了如何使用Python在Excel中实现自动添加编号效果,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1、背景介绍2、库的安装3、核心代码4、完整代码1、背景介绍简单的说,就是在Excel中有一列h=会有重复

spring @EventListener 事件与监听的示例详解

《spring@EventListener事件与监听的示例详解》本文介绍了自定义Spring事件和监听器的方法,包括如何发布事件、监听事件以及如何处理异步事件,通过示例代码和日志,展示了事件的顺序... 目录1、自定义Application Event2、自定义监听3、测试4、源代码5、其他5.1 顺序执行

grom设置全局日志实现执行并打印sql语句

《grom设置全局日志实现执行并打印sql语句》本文主要介绍了grom设置全局日志实现执行并打印sql语句,包括设置日志级别、实现自定义Logger接口以及如何使用GORM的默认logger,通过这些... 目录gorm中的自定义日志gorm中日志的其他操作日志级别Debug自定义 Loggergorm中的

SpringBoot项目注入 traceId 追踪整个请求的日志链路(过程详解)

《SpringBoot项目注入traceId追踪整个请求的日志链路(过程详解)》本文介绍了如何在单体SpringBoot项目中通过手动实现过滤器或拦截器来注入traceId,以追踪整个请求的日志链... SpringBoot项目注入 traceId 来追踪整个请求的日志链路,有了 traceId, 我们在排