Windows2023安全事件ID说明

本文格式为Word版，下载可任意编辑——Windows2023安全事件ID说明Windows2023安全事件ID说明

收集了所有Windows6.0(windowsvistawindows2023)安全审核相关事件类别和子类别。事件说明适用于以下系统请使用Ctrl+F键进行ID探寻

??????????

WindowsVistaEnterprise64-biteditionWindowsVistaUltimate64-biteditionWindowsVistaBusiness

WindowsVistaBusiness64-biteditionWindowsVistaEnterpriseWindowsVistaUltimateWindowsServer2023DatacenterWindowsServer2023EnterpriseWindowsServer2023Standard

WindowsServer2023forItanium-BasedSystems

类别：帐户登录

子类别：凭据验证ID消息

4774

帐户已映射的登录。4775

无法为登录映射的帐户。4776

域控制器试图验证帐户凭据。4777

域控制器无法验证的帐户凭据。子类别：Kerberos身份验证服务ID消息

4768

Kerberos身份验证票证(TGT)请求。4771

Kerberos预身份验证失败。4772

Kerberos身份验证票证请求失败。子类别：Kerberos服务票证操作ID消息

4769

请求一个Kerberos服务票证。4770

Kerberos服务票证被续订。4773

Kerberos服务票证请求失败。

类别：帐户管理

子类别：应用程序组管理ID消息

4783

已创立基本的应用程序组。4784

基本应用程序组已被更改。4785

已将成员添加到基本应用程序组。4786

已从基本应用程序组中删除一个成员。4787

非成员已添加到基本应用程序组。

4788

非成员已从删除基本应用程序组。4789

基本应用程序组已删除。4790

LDAP查询组被创立。4791

基本应用程序组已被更改。4792

LDAP查询组已删除。子类别：计算机帐户管理ID消息

4741

创立一个计算机帐户。4742

已更改计算机帐户。4743

计算机帐户被删除。子类别：通讯组管理ID消息

4744

已创立禁用安全的本地组。4745

已更改禁用安全的本地组。

4746

已将成员添加到禁用安全的本地组。4747

从禁用安全的本地组已删除成员。

4748

已删除禁用安全的本地组。4749

已创立在禁用安全的全局组。4750

已更改禁用安全的全局组。

4751

已将成员添加到禁用安全的全局组。4752

已从禁用安全的全局组中删除一个成员。4753

已删除禁用安全的全局组。4759

已创立一个安全的禁用通用组。4760

更改一个的禁用安全的通用组时。00

已将成员添加到禁用安全的通用组。4762

已从禁用安全的通用组中删除成员。子类别：其他帐户管理事件ID消息

4739

域策略已更改。4782

访问密码哈希的帐户。4793

密码策略检查API被调用。

子类别：安全组管理ID消息

4727

已创立在启用安全的全局组。4728

已将成员添加到启用安全的全局组。4729

已从启用安全的全局组中删除一个成员。4730

已删除启用安全的全局组。4731

已创立启用安全的本地组。

4732

已将成员添加到启用安全的本地组。4733

从启用安全的本地组已删除成员。4734

已删除启用安全的本地组。4735

已更改启用安全的本地组。4737

已更改启用安全的全局组。4754

已创立一个的启用安全的通用组。4755

已更改一个的启用安全的通用组。4756

已将成员添加到启用安全的通用组。

4757

从启用安全的通用组已删除成员。4758

已删除启用安全的通用组。4764

组已经类型已更改。子类别：用户帐户管理ID消息

4720

创立了用户帐户。4722

已启用用户帐户。4723

试图更改帐户的密码。4724

试图重置帐户的密码。4725

用户帐户已禁用。4726

用户帐户被删除。4738

已更改用户帐户。4740

已锁定一个用户帐户。

4765

SID历史记录被添加到一个帐户中。4766

尝试向一个帐户的SID历史记录失败。

4767

未锁定用户帐户。

4780

Administrators组的成员的帐户上设置ACL。4781

帐户的名称已更改：

4794

试图设置目录服务还原模式。5376

凭据管理器的凭据进行备份。5377

凭据管理器的凭据是从备份还原的。

类别：详细跟踪

子类别：DPAPI活动ID消息

1

尝试的数据保护主密钥备份。4693

试图恢复数据保护主密钥。4694

试图保护可审核的受保护数据。

4695

试图unprotection的可审核的受保护数据。子类别：进程创立ID消息

4688

已创立一个新进程。

4696

主令牌被分派给处理。子类别:进程终止ID消息4689

进程已退出。子类别：RPC事件ID消息

5712

试图远程过程调用(RPC)。

类别：DS访问

子类别：详细的目录服务复制ID消息

4928

已建立的ActiveDirectory副来源命名上下文。4929

已删除的ActiveDirectory副来源命名上下文。4930

修改ActiveDirectory副来源命名上下文。4931

修改ActiveDirectory副本目标命名上下文。4934

ActiveDirectory对象的属性被复制。4935

复制失败开始。

4936

复制失败终止。

4937

延迟的对象已从副本中删除。子类别：目录服务访问ID消息

4662

一个对象上执行的操作。子类别：目录服务更改ID消息

5136

目录服务对象已修改。5137

创立目录服务对象。5138

目录服务对象是未被删除。5139

目录服务对象被移动。

请注意可以仅在WindowsVistaServicePack1和WindowsServer2023中目录服务更改子类别中的以下事件。ID消息

5141

目录服务对象已删除。子类别：目录服务复制ID消息

4932

一个ActiveDirectory命名上下文的副本的同步已开始。4933

一个ActiveDirectory命名上下文的副本的同步已终止。

登录/注销类别：

扩展模式下的子类别：IPSecID消息

4978

扩展的模式协商，期间IPsec收到无效的协商数据包。假使此问题依旧存在，它可能说明网络问题或试图修改或重播此协商。4979

建立IPSec主模式和扩展的模式安全关联。4980

建立IPSec主模式和扩展的模式安全关联。4981

建立IPSec主模式和扩展的模式安全关联。4982

建立IPSec主模式和扩展的模式安全关联。

4983

一个IPSec扩展模式协商失败。相应的主模式安全关联已被删除。4984

一个IPSec扩展模式协商失败。相应的主模式安全关联已被删除。子类别：IPSec主模式ID消息

4646

IKEDoS阻止模式已启动。

4650

已建立的IPSec主模式安全关联。未启用扩展的模式。未使用证书身份验证。4651

已建立的IPSec主模式安全关联。未启用扩展的模式。证书用于身份验证。9655

一个IPSec主模式协商失败。4653

一个IPSec主模式协商失败。4655

IPSec主模式安全关联终止。

4976

主模式协商期间IPsec收到无效的协商数据包。假使此问题依旧存在，它可能说明网络问题或试图修改或重播此协商。5049

已删除IPSec安全关联。

5453

与远程计算机的IPSec协商失败，由于IKE和AuthIPIPSec密钥模块(IKEEXT)服务未启动。子类别：IPSec快速模式ID消息

4654

IPsec快速模式协商失败。

4977

在快速模式协商IPSec接收到无效的协商数据包。假使此问题依旧存在，它可能说明网络问题或试图修改或重播此协商。5451

已建立IPsec快速模式安全关联。5452

IPsec快速模式安全关联终止。

子类别：注销ID消息

4634

帐户被注销。4647

用户启动注销。子类别：登录ID消息

4624

已成功登录的帐户。4625

帐户登录失败。

4648

使用显式凭据尝试登录。4675

筛选了SID。

请注意网络策略服务器子类别中的所有事件都均可仅在WindowsVistaServicePack1和WindowsServer2023中。子类别：网络策略服务器ID消息

6272

网络策略服务器向用户授予访问权限。6273

网络策略服务器拒绝用户访问。6274

网络策略服务器放弃用户的请求。

6275

网络策略服务器放弃用户的记帐请求。6276

网络策略服务器隔离用户。

6277

网络策略服务器授予用户访问，但将其放置在probation由于主机不符合已定义的运行状况策略。

6278

网络策略服务器由于主机满足定义运行状况策略用户授予完全访问权限。6279

网络策略服务器锁定用户帐户由于重复的失败身份验证尝试。6280

网络策略服务器取消锁定用户帐户。子类别：其他登录/注销事件ID消息

4649

检测到重播攻击。

4778

会话已重新连接到窗口站。4779

在会话被中断从窗口工作站。4800

工作站已锁定。4801

未锁定工作站。4802

调用屏幕保护程序。4803

屏幕保护程序已关闭。

5378

请求的凭据委派是不允许的策略。5632

已请求对无线网络进行身份验证。5633

已请求对有线网络进行身份验证。子类别：特别登录ID消息

4964

特别组已分派到一个新的登录。

类别：对象访问

生成的子类别：应用程序ID消息

4665

试图创立应用程序客户端环境。4666

应用程序尝试的操作:4667

已删除应用程序客户端环境。4668

应用程序已初始化。子类别：证书服务ID消息

4868

证书管理器已拒绝挂起的证书请求。

4869

证书服务收到resubmitted的证书申请。4870

证书服务撤除证书。

4871

证书服务收到一个请求发布证书撤除列表(CRL)。4872

证书服务发行证书撤除列表(CRL)。4873

证书请求扩展的更改。

e1e38d

一个或多个证书请求属性更改。4875

证书服务收到一个请求关闭。4876

证书服务备份启动。4877

证书服务备份已完成。4878

证书服务还原启动。4879

证书服务还原已完成。4880

证书服务启动。4881

证书服务已中止。4882

证书服务安全权限更改。4883

证书服务检索存档的密钥。

4719

系统审核策略已更改。

4902

被创立的每个用户审核策略表。4904

试图注册安全事件源。4905

试图取消注册安全事件源。4906

CrashOnAuditFail值已更改。4907

对象上的审核设置已更改。4908

特别组登录修改的表。4912

每用户审核策略已更改。子类别：身份验证策略更改ID消息

4706

新的信任创立以一个域。4707

已删除信任域。4713

Kerberos策略已更改。4716

已修改受信任的域信息。

4717

系统安全访问权限被授予的帐户。

4718

系统安全访问权限已从帐户中删除。4864

检测到命名空间冲突。

4865

添加了一个受信任的林信信息项。4866

已删除一个受信任的林信信息项。4867

已修改一个受信任的林信信息项。子类别：授权策略更改ID消息

4704

分派用户权限。4705

已删除用户权限。

4714

加密的数据恢复策略已更改。子类别：筛选平台策略更改ID消息

4709

IPSec服务已启动。4710

IPSec服务被禁用。4711

可能包含以下任何一个：

??

PAStore引擎在计算机上应用ActiveDirectory存储IPSec策略的本地缓存的副本。PAStore引擎在计算机上应用ActiveDirectory存储IPSec策略。

??????????

PAStore引擎在计算机上应用本地注册表存储IPSec策略。

PAStore引擎无法在计算机上应用ActiveDirectory存储IPSec策略的本地缓存的副本。

PAStore引擎无法在计算机上应用ActiveDirectory存储IPSec策略。PAStore引擎无法在计算机上应用本地注册表存储IPSec策略。PAStore引擎无法在计算机上应用活动IPSec策略的某些规则。PAStore引擎无法加载目录存储在计算机上的IPSec策略。PAStore引擎加载目录存储在计算机上的IPSec策略。

PAStore引擎无法加载本地存储在计算机上的IPSec策略。PAStore引擎加载本地存储在计算机上的IPSec策略。

PAStore引擎轮询更改活动的IPSec策略，并检测到任何更改。

4712

IPSec服务遇到可能严重错误。

5040

已被更改IPSec设置。已添加身份验证集。5041

已被更改IPSec设置。已修改的身份验证集。5042

已被更改IPSec设置。已删除身份验证集。5043

已被更改IPSec设置。已添加连接安全规则。5044

已被更改IPSec设置。修改连接安全规则。5045

已被更改IPSec设置。已删除连接安全规则。5046

已被更改IPSec设置。已添加加密集。5047

已被更改IPSec设置。已修改加密集。5048

已被更改IPSec设置。已删除加密集。

5440

Windows筛选平台基本筛选引擎启动时，出现以下标注。

5441

Windows筛选平台基本筛选引擎启动时，出现下面的筛选器。5442

下面提供程序Windows筛选平台基本筛选引擎启动时，出现。5443

Windows筛选平台基本筛选引擎启动时，出现以下的提供程序上下文。5444

Windows筛选平台基本筛选引擎启动时，出现以下sub-layer。5446

已更改Windows筛选平台标注。5448

Windows筛选平台提供程序已被更改。5449

Windows筛选平台提供程序上下文已被更改。5450

一个Windows筛选平台sub-layer已被更改。

5456

PAStore引擎在计算机上应用ActiveDirectory存储IPSec策略。5457

PAStore引擎无法在计算机上应用ActiveDirectory存储IPSec策略。5458

PAStore引擎在计算机上应用ActiveDirectory存储IPSec策略的本地缓存的副本。

5459

PAStore引擎无法在计算机上应用ActiveDirectory存储IPSec策略的本地缓存的副本。

5460

PAStore引擎在计算机上应用本地注册表存储IPSec策略。5461

PAStore引擎无法在计算机上应用本地注册表存储IPSec策略。

5462

PAStore引擎无法在计算机上应用活动IPSec策略的某些规则。使用此IP安全监视器管理单元来诊断问题。

5463

PAStore引擎轮询更改活动的IPSec策略，并检测到任何更改。

5464

PAStore引擎在轮询更改活动的IPSec策略，在检测到更改，并，将它们应用于IPSec服务。

5465

PAStore引擎接收强制重新加载IPSec策略的一个控件，并成功处理该控件。5466

PAStore引擎轮询ActiveDirectoryIPSec策略，确定ActiveDirectory无法到达，并将在而是使用ActiveDirectoryIPSec策略的缓存的副本的更改。对ActiveDirectoryIPSec策略进行，由于应用上次轮询的任何更改。5467

对ActiveDirectoryIPSec策略，确定ActiveDirectory可以是到达，并找到没有更改该策略更改轮询PAStore引擎。ActiveDirectoryIPSec策略缓存的副本不再被使用。

5468

对在ActiveDirectoryIPSec策略更改轮询PAStore引擎确定Active

Directory可访问，找到对此的策略更改并应用这些更改。ActiveDirectoryIPSec策略缓存的副本不再被使用。

5471

PAStore引擎加载本地存储在计算机上的IPSec策略。5472

PAStore引擎无法加载本地存储在计算机上的IPSec策略。5473

PAStore引擎加载目录存储在计算机上的IPSec策略。5474

PAStore引擎无法加载目录存储在计算机上的IPSec策略。5477

PAStore引擎无法添加快速模式筛选器。

子类别：MPSSVC规则-级别策略更改ID消息

4944

以下策略在Windows防火墙启动时活动。4945

Windows防火墙启动时，将被列出规则。

4946

已被更改Windows防火墙例外列表。已添加一个规则。4947

已被更改Windows防火墙例外列表。规则已修改。4948

已被更改Windows防火墙例外列表。已删除一个规则。4949

Windows防火墙设置恢复为默认值。4950

Windows防火墙设置已更改。

4951

一个规则已被忽略，由于Windows防火墙无法识别其主要版本号。

4952

已忽略规则的部分，由于Windows防火墙无法识别的次要版本号。将强制执行规则的其他部分。

4953

规则已被忽略的Windows防火墙中，由于它无法分析该规则。4954

Windows防火墙组策略设置已更改。已应用新设置。4956

Windows防火墙已在活动配置文件。4957

Windows防火墙没有应用以下规则：

4958

Windows防火墙没有应用以下规则，由于该规则引用未配置此计算机上的项目：5050

尝试以编程方式禁用Windows防火墙通过

INetFwProfile.FirewallEnabled(FALSE)接口调用被拒绝，由于此API不支持WindowsVista。这很可能出现由于到这是与WindowsVista不兼容程序。请与程序的制造商联系，以确保您具有WindowsVista兼容的程序版本。子类别：其他策略更改事件ID消息

4909

本地策略设置为在TBS已更改。4910

组策略设置为在TBS已更改。5063

尝试加密提供程序操作。5064

试图加密上下文的操作。5065

试图加密上下文修改。5066

尝试加密函数操作。5067

试图加密函数修改。

5068

试图加密的函数提供程序操作。5069

试图加密的函数的属性操作。5070

试图加密函数属性修改。

5447

已更改Windows筛选平台筛选器。6144

已成功应用组策略对象中的安全策略。

6145

处理组策略对象中的安全策略时出现一个或多个错误。SpecialMulti-useSubcategory的子类别：

请注意以下事件可能生成任何资源管理器启用了它的子类别时。是例如注册表资源管理器或文件系统资源管理器，可能会生成以下事件。ID消息

4670

在对象上的权限已更改。

类别：权限使用

子类别：敏感权限使用/非敏特权使用ID消息

4672

分派给新的登录的特别权限。4673

调用权限的服务。

4674

一个权限对象上尝试的操作。

类别：系统

子类别：IPSec驱动程序ID消息

4960

IPSec丢弃的入站的数据包的完整性检查。假使此问题依旧存在，它可能表示网络问题或该数据包被修改传递到此计算机。验证从远程计算机发送的数据包接收此计算机的对话框一致。此错误也可能表示与其他IPSec实现互操作性问题。

4961

IPSec丢弃的入站的数据包重播检查失败。假使此问题依旧存在，它可能说明对此计算机的重播攻击。

4962

IPSec丢弃的入站的数据包重播检查失败。入站的数据包必需以确保它不在重放得太低一个序列号。

4963

IPSec丢弃应保护的入站的明文形式数据包。这寻常是由于到远程计算机的IPSec策略更改而不通知这台计算机。这也可能是一个欺骗攻击尝试。4965

IPsec从带有不正确的安全参数索引(SPI)的远程计算机收到一个数据包。这寻常是在损坏的数据包的故障硬件造成的。假使这些错误依旧存在，验证从远程计算机发送的数据包是否接收此计算机的对话框一致。此错误也可能表示与其他IPSec实现互操作性问题。在这种状况下假使连接不impeded，然后这些事件可以被忽略。5478

已成功启动IPSec服务。

5479

已成功关闭IPSec服务。关闭IPSec服务可以将计算机的网络攻击的更高风险或公开计算机可能存在安全风险。

5480

IPSec服务无法获取完整的计算机上的网络接口列表。这会带来潜在的安全风险，由于网络接口的一些可能无法获得提供应用的IPSec筛选保护。使用此IP安全监视器管理单元来诊断问题。

5483

IPSec服务无法初始化RPC服务器。无法启动IPSec服务。

5484

IPSec服务遇到严重错误，，已关闭。关闭IPSec服务可以将计算机的网络攻击的更高风险或公开计算机可能存在安全风险。

5485

IPSec服务无法处理网络接口的即插即用事件上某些IPsec筛选器。这会带来潜在的安全风险，由于网络接口的一些可能无法获得提供应用的IPSec筛选保护。使用此IP安全监视器管理单元来诊断问题。子类别：其他的系统事件ID消息

5024

Windows防火墙服务已成功启动。5025

Windows防火墙服务已中止。

5027

Windows防火墙服务无法从本地存储中检索安全策略。服务将继续实施当前策略。

5028

Windows防火墙服务无法分析新安全策略。该服务将继续当前实施的策略。5029

Windows防火墙服务无法初始化驱动程序。该服务将继续实施当前策略。5030

Windows防火墙服务无法启动。

5032

Windows防火墙不能以通知用户它阻止应用程序接受网络上的传入连接。5033

Windows防火墙驱动程序已成功启动。5034

Windows防火墙驱动程序已中止。5035

Windows防火墙驱动程序无法启动。

5037

Windows防火墙驱动程序检测到关键运行时错误。终止。

5058

密