精华内容
下载资源
问答
  • windows日志事件id
    万次阅读
    2020-08-28 10:50:33

    前言

    网上搜出来的事件ID大多对我没啥作用,因此干脆自己整理了一份,小伙伴们应急的时候或许会起到作用,欢迎各位网友一起补充。

    按下快捷键"win+R",在弹出的运行对话框中输入 “eventvwr.msc”,打开自带的事件查看器

    注意:当前环境为"window 10 1903"

    【官方】Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件

    ————————————————————————————————————————

    系统system:

    1074,查看计算机的开机、关机、重启的时间以及原因和注释。

    6005,表示日志服务已启动,用来判断正常开机进入系统。

    6006,表示日志服务已停止,用来判断系统关机

    6009,表示非正常关机, 按ctrl、alt、delete键关机

    41,表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时,出现此事件ID。

    4199,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。

    35,36,37,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常

    134,当出现时间同步源DNS解析失败时会出现此事件ID。

    7045,服务创建成功

    7030,服务创建失败

    —————————————————————————————————————————

    安全Security

    4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。

    4625,表示登陆失败的用户,用来判断RDP爆破的情况。

    4672,表示授予了特殊权限

    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。

    4727,4737,4739,4762,表示当用户组发生添加、删除时或组内添加成员时生成该事件。

    ——————————————————————————————————————————

    设置Setup

    1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装、错误失败、提示重启” 。事件ID3,更新错误或失败是重点查看对象

    更多相关内容
  • windows 日志事件 ID

    千次阅读 2020-09-21 17:19:57
    其他帐户管理事件 4739 域策略已更改。 4782 访问密码哈希的帐户。 4793 密码策略检查 API 被调用。 安全组管理 4727 已创建在启用安全的全局组。 4728 已将成员添加到启用安全的全局组。 4729 已从启用安全的全局...

    应用程序组管理

    4783
    已创建基本的应用程序组。
    4784
    基本应用程序组已被更改。
    4785
    已将成员添加到基本应用程序组。
    4786
    已从基本应用程序组中删除一个成员。
    4787
    非成员已添加到基本应用程序组。
    4788
    非成员已从删除基本应用程序组。
    4789
    基本应用程序组已删除。
    4791
    基本应用程序组已被更改。
    

    计算机帐户管理

    4741
    创建一个计算机帐户。
    4742
    已更改计算机帐户。
    4743
    计算机帐户被删除。
    

    通讯组管理

    4744
    已创建禁用安全的本地组。
    4745
    已更改禁用安全的本地组。
    4746
    已将成员添加到禁用安全的本地组。
    4747
    从禁用安全的本地组已删除成员。
    4748
    已删除禁用安全的本地组。
    4749
    已创建在禁用安全的全局组。
    4750
    已更改禁用安全的全局组。
    4751
    已将成员添加到禁用安全的全局组。
    4752
    已从禁用安全的全局组中删除一个成员。
    4753
    已删除禁用安全的全局组。
    4759
    已创建一个安全的禁用通用组。
    4760
    更改一个的禁用安全的通用组时。
    00
    已将成员添加到禁用安全的通用组。
    4762
    已从禁用安全的通用组中删除成员。
    

    其他帐户管理事件

    4739
    域策略已更改。
    4782
    访问密码哈希的帐户。
    4793
    密码策略检查 API 被调用。
    

    安全组管理

    4727
    已创建在启用安全的全局组。
    4728
    已将成员添加到启用安全的全局组。
    4729
    已从启用安全的全局组中删除一个成员。
    4730
    已删除启用安全的全局组。
    4731
    已创建启用安全的本地组。
    4732
    已将成员添加到启用安全的本地组。
    4733
    从启用安全的本地组已删除成员。
    4734
    已删除启用安全的本地组。
    4735
    已更改启用安全的本地组。
    4737
    已更改启用安全的全局组。
    4754
    已创建一个的启用安全的通用组。
    4755
    已更改一个的启用安全的通用组。
    4756
    已将成员添加到启用安全的通用组。
    4757
    从启用安全的通用组已删除成员。
    4758
    已删除启用安全的通用组。
    4764
    组已经类型已更改。
    

    用户帐户管理

    4720
    创建了用户帐户。
    4722
    已启用用户帐户。
    4723
    试图更改帐户的密码。
    4724
    试图重置帐户的密码。
    4725
    用户帐户已禁用。
    4726
    用户帐户被删除。
    4738
    已更改用户帐户。
    4740
    已锁定一个用户帐户。
    4765
    SID 历史记录被添加到一个帐户中。
    4766
    尝试向一个帐户的 SID 历史记录失败。
    4767
    未锁定用户帐户。
    4780
    Administrators 组的成员的帐户上设置 ACL。
    4781
    帐户的名称已更改:
    4794
    试图设置目录服务还原模式。
    5376
    凭据管理器的凭据进行备份。
    5377
    凭据管理器的凭据是从备份还原的。
    
    展开全文
  • windows安全事件id汇总

    千次阅读 2021-12-14 12:30:44
    windows安全事件id汇总 正文 EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 -...

    windows安全事件id汇总

    正文

    EVENT_ID 安全事件信息
    1100 ----- 事件记录服务已关闭
    1101 ----- 审计事件已被运输中断。
    1102 ----- 审核日志已清除
    1104 ----- 安全日志现已满
    1105 ----- 事件日志自动备份
    1108 ----- 事件日志记录服务遇到错误
    4608 ----- Windows正在启动
    4609 ----- Windows正在关闭
    4610 ----- 本地安全机构已加载身份验证包
    4611 ----- 已向本地安全机构注册了受信任的登录进程
    4612 ----- 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
    4614 ----- 安全帐户管理器已加载通知包。
    4615 ----- LPC端口使用无效
    4616 ----- 系统时间已更改。
    4618 ----- 已发生受监视的安全事件模式
    4621 ----- 管理员从CrashOnAuditFail恢复了系统
    4622 ----- 本地安全机构已加载安全包。
    4624 ----- 帐户已成功登录
    4625 ----- 帐户无法登录
    4626 ----- 用户/设备声明信息
    4627 ----- 集团会员信息。
    4634 ----- 帐户已注销
    4646 ----- IKE DoS防护模式已启动
    4647 ----- 用户启动了注销
    4648 ----- 使用显式凭据尝试登录
    4649 ----- 检测到重播攻击
    4650 ----- 建立了IPsec主模式安全关联
    4651 ----- 建立了IPsec主模式安全关联
    4652 ----- IPsec主模式协商失败
    4653 ----- IPsec主模式协商失败
    4654 ----- IPsec快速模式协商失败
    4655 ----- IPsec主模式安全关联已结束
    4656 ----- 请求了对象的句柄
    4657 ----- 注册表值已修改
    4658 ----- 对象的句柄已关闭
    4659 ----- 请求删除对象的句柄
    4660 ----- 对象已删除
    4661 ----- 请求了对象的句柄
    4662 ----- 对对象执行了操作
    4663 ----- 尝试访问对象
    4664 ----- 试图创建一个硬链接
    4665 ----- 尝试创建应用程序客户端上下文。
    4666 ----- 应用程序尝试了一个操作
    4667 ----- 应用程序客户端上下文已删除
    4668 ----- 应用程序已初始化
    4670 ----- 对象的权限已更改
    4671 ----- 应用程序试图通过TBS访问被阻止的序号
    4672 ----- 分配给新登录的特权
    4673 ----- 特权服务被召唤
    4674 ----- 尝试对特权对象执行操作
    4675 ----- SID被过滤掉了
    4688 ----- 已经创建了一个新流程
    4689 ----- 一个过程已经退出
    4690 ----- 尝试复制对象的句柄
    4691 ----- 请求间接访问对象
    4692 ----- 尝试备份数据保护主密钥
    4693 ----- 尝试恢复数据保护主密钥
    4694 ----- 试图保护可审计的受保护数据
    4695 ----- 尝试不受保护的可审计受保护数据
    4696 ----- 主要令牌已分配给进程
    4697 ----- 系统中安装了一项服务
    4698 ----- 已创建计划任务
    4699 ----- 计划任务已删除
    4700 ----- 已启用计划任务
    4701 ----- 计划任务已禁用
    4702 ----- 计划任务已更新
    4703 ----- 令牌权已经调整
    4704 ----- 已分配用户权限
    4705 ----- 用户权限已被删除
    4706 ----- 为域创建了新的信任
    4707 ----- 已删除对域的信任
    4709 ----- IPsec服务已启动
    4710 ----- IPsec服务已禁用
    4711 ----- PAStore引擎(1%)
    4712 ----- IPsec服务遇到了潜在的严重故障
    4713 ----- Kerberos策略已更改
    4714 ----- 加密数据恢复策略已更改
    4715 ----- 对象的审核策略(SACL)已更改
    4716 ----- 可信域信息已被修改
    4717 ----- 系统安全访问权限已授予帐户
    4718 ----- 系统安全访问已从帐户中删除
    4719 ----- 系统审核策略已更改
    4720 ----- 已创建用户帐户
    4722 ----- 用户帐户已启用
    4723 ----- 尝试更改帐户的密码
    4724 ----- 尝试重置帐户密码
    4725 ----- 用户帐户已被禁用
    4726 ----- 用户帐户已删除
    4727 ----- 已创建启用安全性的全局组
    4728 ----- 已将成员添加到启用安全性的全局组中
    4729 ----- 成员已从启用安全性的全局组中删除
    4730 ----- 已删除启用安全性的全局组
    4731 ----- 已创建启用安全性的本地组
    4732 ----- 已将成员添加到启用安全性的本地组
    4733 ----- 成员已从启用安全性的本地组中删除
    4734 ----- 已删除已启用安全性的本地组
    4735 ----- 已启用安全性的本地组已更改
    4737 ----- 启用安全性的全局组已更改
    4738 ----- 用户帐户已更改
    4739 ----- 域策略已更改
    4740 ----- 用户帐户已被锁定
    4741 ----- 已创建计算机帐户
    4742 ----- 计算机帐户已更改
    4743 ----- 计算机帐户已删除
    4744 ----- 已创建禁用安全性的本地组
    4745 ----- 已禁用安全性的本地组已更改
    4746 ----- 已将成员添加到已禁用安全性的本地组
    4747 ----- 已从安全性已禁用的本地组中删除成员
    4748 ----- 已删除安全性已禁用的本地组
    4749 ----- 已创建一个禁用安全性的全局组
    4750 ----- 已禁用安全性的全局组已更改
    4751 ----- 已将成员添加到已禁用安全性的全局组中
    4752 ----- 成员已从禁用安全性的全局组中删除
    4753 ----- 已删除安全性已禁用的全局组
    4754 ----- 已创建启用安全性的通用组
    4755 ----- 启用安全性的通用组已更改
    4756 ----- 已将成员添加到启用安全性的通用组中
    4757 ----- 成员已从启用安全性的通用组中删除
    4758 ----- 已删除启用安全性的通用组
    4759 ----- 创建了一个安全禁用的通用组
    4760 ----- 安全性已禁用的通用组已更改
    4761 ----- 已将成员添加到已禁用安全性的通用组中
    4762 ----- 成员已从禁用安全性的通用组中删除
    4763 ----- 已删除安全性已禁用的通用组
    4764 ----- 组类型已更改
    4765 ----- SID历史记录已添加到帐户中
    4766 ----- 尝试将SID历史记录添加到帐户失败
    4767 ----- 用户帐户已解锁
    4768 ----- 请求了Kerberos身份验证票证(TGT)
    4769 ----- 请求了Kerberos服务票证
    4770 ----- 更新了Kerberos服务票证
    4771 ----- Kerberos预身份验证失败
    4772 ----- Kerberos身份验证票证请求失败
    4773 ----- Kerberos服务票证请求失败
    4774 ----- 已映射帐户以进行登录
    4775 ----- 无法映射帐户以进行登录
    4776 ----- 域控制器尝试验证帐户的凭据
    4777 ----- 域控制器无法验证帐户的凭据
    4778 ----- 会话重新连接到Window Station
    4779 ----- 会话已与Window Station断开连接
    4780 ----- ACL是在作为管理员组成员的帐户上设置的
    4781 ----- 帐户名称已更改
    4782 ----- 密码哈希帐户被访问
    4783 ----- 创建了一个基本应用程序组
    4784 ----- 基本应用程序组已更改
    4785 ----- 成员已添加到基本应用程序组
    4786 ----- 成员已从基本应用程序组中删除
    4787 ----- 非成员已添加到基本应用程序组
    4788 ----- 从基本应用程序组中删除了非成员。
    4789 ----- 基本应用程序组已删除
    4790 ----- 已创建LDAP查询组
    4791 ----- 基本应用程序组已更改
    4792 ----- LDAP查询组已删除
    4793 ----- 密码策略检查API已被调用
    4794 ----- 尝试设置目录服务还原模式管理员密码
    4797 ----- 试图查询帐户是否存在空白密码
    4798 ----- 枚举了用户的本地组成员身份。
    4799 ----- 已枚举启用安全性的本地组成员身份
    4800 ----- 工作站已锁定
    4801 ----- 工作站已解锁
    4802 ----- 屏幕保护程序被调用
    4803 ----- 屏幕保护程序被解雇了
    4816 ----- RPC在解密传入消息时检测到完整性违规
    4817 ----- 对象的审核设置已更改。
    4818 ----- 建议的中央访问策略不授予与当前中央访问策略相同的访问权限
    4819 ----- 计算机上的中央访问策略已更改
    4820 ----- Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
    4821 ----- Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
    4822 ----- NTLM身份验证失败,因为该帐户是受保护用户组的成员
    4823 ----- NTLM身份验证失败,因为需要访问控制限制
    4824 ----- 使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
    4825 ----- 用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
    Desktop Users组或Administrators组的成员时才允许用户进行连接
    4826 ----- 加载引导配置数据
    4830 ----- SID历史记录已从帐户中删除
    4864 ----- 检测到名称空间冲突
    4865 ----- 添加了受信任的林信息条目
    4866 ----- 已删除受信任的林信息条目
    4867 ----- 已修改受信任的林信息条目
    4868 ----- 证书管理器拒绝了挂起的证书请求
    4869 ----- 证书服务收到重新提交的证书请求
    4870 ----- 证书服务撤销了证书
    4871 ----- 证书服务收到发布证书吊销列表(CRL)的请求
    4872 ----- 证书服务发布证书吊销列表(CRL)
    4873 ----- 证书申请延期已更改
    4874 ----- 一个或多个证书请求属性已更改。
    4875 ----- 证书服务收到关闭请求
    4876 ----- 证书服务备份已启动
    4877 ----- 证书服务备份已完成
    4878 ----- 证书服务还原已开始
    4879 ----- 证书服务恢复已完成
    4880 ----- 证书服务已启动
    4881 ----- 证书服务已停止
    4882 ----- 证书服务的安全权限已更改
    4883 ----- 证书服务检索到存档密钥
    4884 ----- 证书服务将证书导入其数据库
    4885 ----- 证书服务的审核筛选器已更改
    4886 ----- 证书服务收到证书请求
    4887 ----- 证书服务批准了证书请求并颁发了证书
    4888 ----- 证书服务拒绝了证书请求
    4889 ----- 证书服务将证书请求的状态设置为挂起
    4890 ----- 证书服务的证书管理器设置已更改。
    4891 ----- 证书服务中的配置条目已更改
    4892 ----- 证书服务的属性已更改
    4893 ----- 证书服务存档密钥
    4894 ----- 证书服务导入并存档了一个密钥
    4895 ----- 证书服务将CA证书发布到Active Directory域服务
    4896 ----- 已从证书数据库中删除一行或多行
    4897 ----- 启用角色分离
    4898 ----- 证书服务加载了一个模板
    4899 ----- 证书服务模板已更新
    4900 ----- 证书服务模板安全性已更新
    4902 ----- 已创建每用户审核策略表
    4904 ----- 尝试注册安全事件源
    4905 ----- 尝试取消注册安全事件源
    4906 ----- CrashOnAuditFail值已更改
    4907 ----- 对象的审核设置已更改
    4908 ----- 特殊组登录表已修改
    4909 ----- TBS的本地策略设置已更改
    4910 ----- TBS的组策略设置已更改
    4911 ----- 对象的资源属性已更改
    4912 ----- 每用户审核策略已更改
    4913 ----- 对象的中央访问策略已更改
    4928 ----- 建立了Active Directory副本源命名上下文
    4929 ----- 已删除Active Directory副本源命名上下文
    4930 ----- 已修改Active Directory副本源命名上下文
    4931 ----- 已修改Active Directory副本目标命名上下文
    4932 ----- 已开始同步Active Directory命名上下文的副本
    4933 ----- Active Directory命名上下文的副本的同步已结束
    4934 ----- 已复制Active Directory对象的属性
    4935 ----- 复制失败开始
    4936 ----- 复制失败结束
    4937 ----- 从副本中删除了一个延迟对象
    4944 ----- Windows防火墙启动时,以下策略处于活动状态
    4945 ----- Windows防火墙启动时列出了规则
    4946 ----- 已对Windows防火墙例外列表进行了更改。增加了一条规则
    4947 ----- 已对Windows防火墙例外列表进行了更改。规则被修改了
    4948 ----- 已对Windows防火墙例外列表进行了更改。规则已删除
    4949 ----- Windows防火墙设置已恢复为默认值
    4950 ----- Windows防火墙设置已更改
    4951 ----- 规则已被忽略,因为Windows防火墙无法识别其主要版本号
    4952 ----- 已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
    4953 ----- Windows防火墙已忽略规则,因为它无法解析规则
    4954 ----- Windows防火墙组策略设置已更改。已应用新设置
    4956 ----- Windows防火墙已更改活动配置文件
    4957 ----- Windows防火墙未应用以下规则
    4958 ----- Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
    4960 ----- IPsec丢弃了未通过完整性检查的入站数据包
    4961 ----- IPsec丢弃了重放检查失败的入站数据包
    4962 ----- IPsec丢弃了重放检查失败的入站数据包
    4963 ----- IPsec丢弃了应该受到保护的入站明文数据包
    4964 ----- 特殊组已分配给新登录
    4965 ----- IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
    4976 ----- 在主模式协商期间,IPsec收到无效的协商数据包。
    4977 ----- 在快速模式协商期间,IPsec收到无效的协商数据包。
    4978 ----- 在扩展模式协商期间,IPsec收到无效的协商数据包。
    4979 ----- 建立了IPsec主模式和扩展模式安全关联。
    4980 ----- 建立了IPsec主模式和扩展模式安全关联
    4981 ----- 建立了IPsec主模式和扩展模式安全关联
    4982 ----- 建立了IPsec主模式和扩展模式安全关联
    4983 ----- IPsec扩展模式协商失败
    4984 ----- IPsec扩展模式协商失败
    4985 ----- 交易状态已发生变化
    5024 ----- Windows防火墙服务已成功启动
    5025 ----- Windows防火墙服务已停止
    5027 ----- Windows防火墙服务无法从本地存储中检索安全策略
    5028 ----- Windows防火墙服务无法解析新的安全策略。
    5029 ----- Windows防火墙服务无法初始化驱动程序
    5030 ----- Windows防火墙服务无法启动
    5031 ----- Windows防火墙服务阻止应用程序接受网络上的传入连接。
    5032 ----- Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
    5033 ----- Windows防火墙驱动程序已成功启动
    5034 ----- Windows防火墙驱动程序已停止
    5035 ----- Windows防火墙驱动程序无法启动
    5037 ----- Windows防火墙驱动程序检测到严重的运行时错 终止
    5038 ----- 代码完整性确定文件的图像哈希无效
    5039 ----- 注册表项已虚拟化。
    5040 ----- 已对IPsec设置进行了更改。添加了身份验证集。
    5041 ----- 已对IPsec设置进行了更改。身份验证集已修改
    5042 ----- 已对IPsec设置进行了更改。身份验证集已删除
    5043 ----- 已对IPsec设置进行了更改。添加了连接安全规则
    5044 ----- 已对IPsec设置进行了更改。连接安全规则已修改
    5045 ----- 已对IPsec设置进行了更改。连接安全规则已删除
    5046 ----- 已对IPsec设置进行了更改。添加了加密集
    5047 ----- 已对IPsec设置进行了更改。加密集已被修改
    5048 ----- 已对IPsec设置进行了更改。加密集已删除
    5049 ----- IPsec安全关联已删除
    5050 ----- 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
    5051 ----- 文件已虚拟化
    5056 ----- 进行了密码自检
    5057 ----- 加密原语操作失败
    5058 ----- 密钥文件操作
    5059 ----- 密钥迁移操作
    5060 ----- 验证操作失败
    5061 ----- 加密操作
    5062 ----- 进行了内核模式加密自检
    5063 ----- 尝试了加密提供程序操作
    5064 ----- 尝试了加密上下文操作
    5065 ----- 尝试了加密上下文修改
    5066 ----- 尝试了加密功能操作
    5067 ----- 尝试了加密功能修改
    5068 ----- 尝试了加密函数提供程序操作
    5069 ----- 尝试了加密函数属性操作
    5070 ----- 尝试了加密函数属性操作
    5071 ----- Microsoft密钥分发服务拒绝密钥访问
    5120 ----- OCSP响应程序服务已启动
    5121 ----- OCSP响应程序服务已停止
    5122 ----- OCSP响应程序服务中的配置条目已更改
    5123 ----- OCSP响应程序服务中的配置条目已更改
    5124 ----- 在OCSP Responder Service上更新了安全设置
    5125 ----- 请求已提交给OCSP Responder Service
    5126 ----- 签名证书由OCSP Responder Service自动更新
    5127 ----- OCSP吊销提供商成功更新了吊销信息
    5136 ----- 目录服务对象已修改
    5137 ----- 已创建目录服务对象
    5138 ----- 目录服务对象已取消删除
    5139 ----- 已移动目录服务对象
    5140 ----- 访问了网络共享对象
    5141 ----- 目录服务对象已删除
    5142 ----- 添加了网络共享对象。
    5143 ----- 网络共享对象已被修改
    5144 ----- 网络共享对象已删除。
    5145 ----- 检查网络共享对象以查看是否可以向客户端授予所需的访问权限
    5146 ----- Windows筛选平台已阻止数据包
    5147 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
    5148 ----- Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
    5149 ----- DoS攻击已经消退,正常处理正在恢复。
    5150 ----- Windows筛选平台已阻止数据包。
    5151 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包。
    5152 ----- Windows筛选平台阻止了数据包
    5153 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
    5154 ----- Windows过滤平台允许应用程序或服务在端口上侦听传入连接
    5155 ----- Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
    5156 ----- Windows筛选平台允许连接
    5157 ----- Windows筛选平台已阻止连接
    5158 ----- Windows筛选平台允许绑定到本地端口
    5159 ----- Windows筛选平台已阻止绑定到本地端口
    5168 ----- SMB / SMB2的Spn检查失败。
    5169 ----- 目录服务对象已修改
    5170 ----- 在后台清理任务期间修改了目录服务对象
    5376 ----- 已备份凭据管理器凭据
    5377 ----- Credential Manager凭据已从备份还原
    5378 ----- 策略不允许请求的凭据委派
    5440 ----- Windows筛选平台基本筛选引擎启动时出现以下callout
    5441 ----- Windows筛选平台基本筛选引擎启动时存在以下筛选器
    5442 ----- Windows筛选平台基本筛选引擎启动时,存在以下提供程序
    5443 ----- Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
    5444 ----- Windows筛选平台基本筛选引擎启动时,存在以下子层
    5446 ----- Windows筛选平台标注已更改
    5447 ----- Windows筛选平台筛选器已更改
    5448 ----- Windows筛选平台提供程序已更改
    5449 ----- Windows筛选平台提供程序上下文已更改
    5450 ----- Windows筛选平台子层已更改
    5451 ----- 建立了IPsec快速模式安全关联
    5452 ----- IPsec快速模式安全关联已结束
    5453 ----- 与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP IPsec密钥模块(IKEEXT)服务
    5456 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略
    5457 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略
    5458 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本
    5459 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本
    5460 ----- PAStore引擎在计算机上应用了本地注册表存储IPsec策略
    5461 ----- PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
    5462 ----- PAStore引擎无法在计算机上应用某些活动IPsec策略规则
    5463 ----- PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
    5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
    5465 ----- PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
    5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
    IPsec策略的缓存副本
    5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
    5468 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
    5471 ----- PAStore引擎在计算机上加载了本地存储IPsec策略
    5472 ----- PAStore引擎无法在计算机上加载本地存储IPsec策略
    5473 ----- PAStore引擎在计算机上加载了目录存储IPsec策略
    5474 ----- PAStore引擎无法在计算机上加载目录存储IPsec策略
    5477 ----- PAStore引擎无法添加快速模式过滤器
    5478 ----- IPsec服务已成功启动
    5479 ----- IPsec服务已成功关闭
    5480 ----- IPsec服务无法获取计算机上的完整网络接口列表
    5483 ----- IPsec服务无法初始化RPC服务器。无法启动IPsec服务
    5484 ----- IPsec服务遇到严重故障并已关闭
    5485 ----- IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
    5632 ----- 已请求对无线网络进行身份验证
    5633 ----- 已请求对有线网络进行身份验证
    5712 ----- 尝试了远程过程调用(RPC)
    5888 ----- COM +目录中的对象已被修改
    5889 ----- 从COM +目录中删除了一个对象
    5890 ----- 一个对象已添加到COM +目录中
    6144 ----- 组策略对象中的安全策略已成功应用
    6145 ----- 处理组策略对象中的安全策略时发生一个或多个错误
    6272 ----- 网络策略服务器授予用户访问权限
    6273 ----- 网络策略服务器拒绝访问用户
    6274 ----- 网络策略服务器放弃了对用户的请求
    6275 ----- 网络策略服务器放弃了用户的记帐请求
    6276 ----- 网络策略服务器隔离了用户
    6277 ----- 网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
    6278 ----- 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
    6279 ----- 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
    6280 ----- 网络策略服务器解锁了用户帐户
    6281 ----- 代码完整性确定图像文件的页面哈希值无效…
    6400 ----- BranchCache:在发现内容可用性时收到格式错误的响应。
    6401 ----- BranchCache:从对等方收到无效数据。数据被丢弃。
    6402 ----- BranchCache:提供数据的托管缓存的消息格式不正确。
    6403 ----- BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
    6404 ----- BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
    6405 ----- BranchCache:发生了事件ID%1的%2个实例。
    6406 ----- %1注册到Windows防火墙以控制以下过滤:
    6408 ----- 已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
    6409 ----- BranchCache:无法解析服务连接点对象
    6410 ----- 代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
    6416 ----- 系统识别出新的外部设备。
    6417 ----- FIPS模式加密自检成功
    6418 ----- FIPS模式加密自检失败
    6419 ----- 发出了禁用设备的请求
    6420 ----- 设备已禁用
    6421 ----- 已发出请求以启用设备
    6422 ----- 设备已启用
    6423 ----- 系统策略禁止安装此设备
    6424 ----- 在事先被政策禁止之后,允许安装此设备
    8191 ----- 最高系统定义的审计消息值

    展开全文
  • 本文介绍操作系统日志网络环境日志分类Unix/Linux系统日志1.登录时间日志子系统:登录时间日志通常会与多个程序的执行产生关联,一般情况下,会记录到/var/log/wtm和/var/run/utmp中2.进程统计日志子系统:主要由...

    大家好,我是anyux。本文介绍操作系统日志

    83934c4996c1f5212546998862c22e4b.png

    网络环境日志分类

    Unix/Linux系统日志

    1.登录时间日志子系统:登录时间日志通常会与多个程序的执行产生关联,一般情况下,会记录到/var/log/wtm和/var/run/utmp中

    2.进程统计日志子系统:主要由系统的内核来实现完成记录操作。进程终止,系统能自动记录该进程,并在其日志文件中添加记录信息

    3.错误日志子系统:由syslogd实现。对各个应用系统(HTTP,FTP,Samba)的守护进程、系统内核来自动利用syslog向/var/log/messages文件写入信息

    Unix/Linux日志格式

    1.基于syslogd的日志文件,由Syslog协议与POSIX标准定义,以ascii文本形式保存。通常由日期、时间、主机名、ip地址和优先级等。syslog分为0-7共8个优先级

    2.应用程序的日志文件,由ascii文本形式保存,默认存储在/var/log/messages目录中,如/var/log/httpd/ ,/var/log/samba

    e08e4acc9dcadbff60666a3e8acf5594.png

    3.操作记录日志文件。包含两种,登录人员的日志信息lastlog.二进制格式存储,包含用户名,终端号,登录ip,登录时间等。系统邮件服务器记录日志maillog,ascii文本格式存储,包含进程名,邮件代号、日期、时间、操作过程

    6bf2189830d625bff9858a572cb70695.png

    Windows日志

    1.系统日志:系统中各组件运行时的事件。分为驱动程序问题,系统组件问题,应用程序问题。这些问题包含数据丢失,错误,崩溃等

    2.安全日志:记录安全事件,包含登录、退出信息,重要资源的操作等

    3.应用程序日志:记录应用程序各类事件

    windows一般使用二进制格式存储,使用事件查看器或第三主分析工具读取。

    Windows系统日志

    windows200 Advanced Server

    日志类型目录位置应用程序C:WINNTsystem32configAppEvent.Evt安全C:WINDOWSsystem32configSecEvent.Evt系统C:WINDOWSsystem32configSysEvent.EvtIIS目录C:WINDOWSsystem32configLogFiles

    Windows Server 2003 企业版

    日志类型目录位置应用程序C:WINDOWSsystem32configAppEvent.Evt安全C:WINDOWSsystem32configSecEvent.Evt系统C:WINDOWSsystem32configSysEvent.Evt目录服务C:WINDOWSsystem32configNTDS.EvtDNS服务器C:WINDOWSsystem32configDnsEvent.Evt文件复制服务C:WINDOWSsystem32configNtFrs.Evt防火墙日志C:WINDOWSpfirewall.log

    Windows Server 2008 标准版

    日志类型目录位置应用程序%SystemRoot%System32WinevtLogsApplication.evtx安全%SystemRoot%System32WinevtLogsSecurity.evtx系统%SystemRoot%System32WinevtLogsSystem.evtx防火墙%SystemRoot%System32WinevtLogspfirewall.log

    Windows Vista/Windows 7 /Windows 8 日志情况

    日志类型目录位置应用程序%SystemRoot%System32WinevtLogsApplication.evtx最大日志容量1801PB安全%SystemRoot%System32WinevtLogsSecurity.evtx系统%SystemRoot%System32WinevtLogsSystem.evtx防火墙%SystemRoot%System32WinevtLogspfirewall.log

    dec678ba8ba4093f29ddc7fe597b8088.png

    网络设备日志

    PIX防火墙日志,记录事件如下:AAA(认证、授权、记账)事件,Connection事件,SNMP事件,Routing errors事件,Failover事件,PIX系统管理事件

    交换机日志,记录设备自身运行状态,及异常状态,兼容Syslog RFC 3164的支持

    展开全文
  • 详细讲解windows安全日志事件ID4625错误
  • win10开关机日志—30 开机,7002 关机 win7开关机日志—6005开机 6006关机
  • win10系统日志事件ID 10016

    万次阅读 多人点赞 2019-04-03 16:12:09
    win10 事件查看器里面系统日志 来源DistributedCOM 事件ID 10016 事件10016直接原因就是某个账户没有对某个组件本地激活的权限 通过日志,我们可以看到是哪个账户和哪个组件 通过修改注册表获得对该组件的修改权限 ...
  • 该文件为微软提供的MicrosoftFixit50688.msi文件,可以用来解决事务日志中出现的windows事件ID10,WMI错误
  • Windows事件ID大全

    万次阅读 2019-04-25 09:07:26
    事件查看器常见ID代码解释 ID 类型 来 源 代 表 的 意 义 举 例 解 释 2 信息 Serial 在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式...
  • 原文地址: ...depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn
  • 最近小编逛某论坛的时候,发现有win10系统用户在发帖咨询这样一个问题,就是在玩游戏的时候,出现了蓝屏故障,重启查看事件日志事件ID1001错误,该如何解决呢,本文就给大家带来win10系统玩游戏出现蓝屏事件ID1001的...
  • WIN10事件查看器,ID1000,ID1001 問題

    千次阅读 2021-08-11 13:20:51
    以下是事件查看器中的错误信息:错误应用程序名称: Overwatch.exe,版本: 1.0.2.27174,时间戳: 0x56c53044错误模块名称: Overwatch.exe,版本: 1.0.2.27174,时间戳: 0x56c53044异常代码: 0xc0000005错误偏移量: 0x...
  • 日志名称: System来源: Microsoft-Windows-WER-SystemErrorReporting日期: 2020/7/20 11:10:24事件 ID: 1001任务类别: 无级别: 错误关键字: 经典用户: 暂缺计算机...
  • 事件ID1014

    千次阅读 2021-08-02 06:22:57
    日志名称: System来源: Microsoft-Windows-DNS-Client日期: 2012/5/10 14:54:26事件 ID: 1014任务类别: 无级别: 警告关键字:用户: NETWORK SERVICE计算机: go...
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105...
  • 对于Windows计算机上发生的所有事件,操作系统在内部将其视为事件。因此,当任何流程或任务出错时,用户可以找出确切的断点。为此,首先,让我们检查一下User Profile的一些常见服务事件ID代表什么。*事件ID 1500:...
  • windows日志总结

    千次阅读 2022-06-09 18:22:27
    运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。...Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
  • windows终端事件日志监控指南

    千次阅读 2019-08-22 17:30:29
    windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...
  • windows错误事件id6008修复方法

    千次阅读 2021-07-26 04:03:09
    方案1:事件详细信息来源(S):EventLog类别(R):无类型(E):错误事件ID(I):6008用户(O)N/A上一次系统的 00:00:00 在00-00-00 上的关闭是意外的。有关更多信息,请参阅在 ...
  • Windows事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件...
  • 事件可视化EventViz 用于 Sysmon 日志Windows 事件日志查看器。 随着进一步开发的继续,将日志范围扩大到其他事件日志。 当前使用 EventViz 假定您已经安装了 R 版本以及 RStudio。 在 RStudio 控制台提示下,...
  • 基础知识 打开方式:eventview或命令行工具wevtutil 事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。...事件日志分两个类型:windows日志、应用程序和服务日志。
  • 应急响应处置现场流程 - 日志分析08

    千次阅读 2021-03-24 14:34:32
    1)日志概述在Windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握,其位置如下。 在Windows 2000 专业版/Windows XP/Windows Server 2003(注意日志...
  • windows安全事件id汇总 Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中...
  • Windows常见事件ID

    千次阅读 2021-04-01 21:03:15
    Windows常见事件ID Windows 事件 ID Windows Vista 事件 ID 事件类型 描述 512, 513, 514, 515, 516, 518, 519, 520 4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616 系统事件 本地系统进程,例如系统启动...
  • 最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用...
  • python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 Python-evtx 安装下载 pip install python-evtx ...
  • Windows应急日志常用的几个事件ID

    千次阅读 2019-09-29 02:22:08
    Windows应急日志常用的几个事件ID点击站内没有搜索到,可能搜索姿势不对,发一下吧,应急时可能会用到,根据日志时间点判断入侵日志路径:C:\Windows\System32\winevt\Logs查看日志:Security.evtx、System.evtx、...
  • windows】查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    事件查看器常用ID 当我们需要查找win10的开机历史记录的时候该怎么查看呢。其实很简单的。这里为大家分享下win10查看开机历史记录的两种方法,希望能帮到有需要的朋友。 方法一 打开控制面板,点击【系统和安全】...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 166,513
精华内容 66,605
关键字:

windows日志事件id