Windows常見操作系統應急響應流程—日誌分析篇

類別:帳戶管理

子類別:應用程序組管理

ID 消息 4783 已創建基本的應用程序組。 4784 基本應用程序組已被更改。 4785 已將成員添加到基本應用程序組。4786 已從基本應用程序組中刪除一個成員。 4787 非成員已添加到基本應用程序組。 4788 非成員已從刪除基本應用程序組。 4789 基本應用程序組已刪除。 4790 LDAP 查詢組被創建。 4791 基本應用程序組已被更改。 4792 LDAP 查詢組已刪除。 

子類別:計算機帳戶管理

ID 消息 4741 創建一個計算機帳戶。 4742 已更改計算機帳戶。 4743 計算機帳戶被刪除。 

子類別:通訊組管理

ID 消息 4744 已創建禁用安全的本地組。 4745 已更改禁用安全的本地組。 4746 已將成員添加到禁用安全的本地組。 4747 從禁用安全的本地組已刪除成員。 4748 已刪除禁用安全的本地組。 4749 已創建在禁用安全的全局組。 4750 已更改禁用安全的全局組。 4751 已將成員添加到禁用安全的全局組。 4752 已從禁用安全的全局組中刪除一個成員。 4753 已刪除禁用安全的全局組。 4759 已創建一個安全的禁用通用組。 4760 更改一個的禁用安全的通用組時。 00 已將成員添加到禁用安全的通用組。 4762 已從禁用安全的通用組中刪除成員。 

子類別:其他帳戶管理事件

ID 消息 4739 域策略已更改。 4782 訪問密碼哈希的帳戶。 4793 密碼策略檢查 API 被調用。 

子類別:安全組管理

ID 消息 4727 已創建在啟用安全的全局組。 4728 已將成員添加到啟用安全的全局組。 4729 已從啟用安全的全局組中刪除一個成員。 4730 已刪除啟用安全的全局組。 4731 已創建啟用安全的本地組。 4732 已將成員添加到啟用安全的本地組。 4733 從啟用安全的本地組已刪除成員。 4734 已刪除啟用安全的本地組。 4735 已更改啟用安全的本地組。 4737 已更改啟用安全的全局組。 4754 已創建一個的啟用安全的通用組。 4755 已更改一個的啟用安全的通用組。 4756 已將成員添加到啟用安全的通用組。 4757 從啟用安全的通用組已刪除成員。 4758 已刪除啟用安全的通用組。 4764 組已經類型已更改。 

子類別:用戶帳戶管理

ID 消息 4720 創建了用戶帳戶。 4722 已啟用用戶帳戶。 4723 試圖更改帳戶的密碼。 4724 試圖重置帳戶的密碼。 4725 用戶帳戶已禁用。 4726 用戶帳戶被刪除。 4738 已更改用戶帳戶。 4740 已鎖定一個用戶帳戶。 4765 SID 歷史記錄被添加到一個帳戶中。 4766 嘗試向一個帳戶的 SID 歷史記錄失敗。 4767 未鎖定用戶帳戶。 4780 Administrators 組的成員的帳戶上設置 ACL。 4781 帳戶的名稱已更改: 4794 試圖設置目錄服務還原模式。 5376 憑據管理器的憑據進行備份。 5377 憑據管理器的憑據是從備份還原的。 

類別:詳細跟蹤

子類別:DPAPI 活動

ID 消息 1 嘗試的數據保護主密鑰備份。 4693 試圖恢復數據保護主密鑰。 4694 試圖保護可審核的受保護數據。 4695 試圖 unprotection 的可審核的受保護數據。 

子類別:進程創建

ID 消息 4688 已創建一個新進程。 4696 主令牌被分配給處理。 

子類別: 進程終止

ID 消息 4689 進程已退出。 

子類別:RPC 事件

ID 消息 5712 試圖遠程過程調用 (RPC)。 

類別:DS 訪問

子類別:詳細的目錄服務復制

ID 消息 4928 已建立的 Active Directory 副本源命名上下文。 4929 已刪除的 Active Directory 副本源命名上下文。 4930 修改 Active Directory 副本源命名上下文。4931 修改 Active Directory 副本目標命名上下文。 4934 Active Directory 對象的屬性被復制。 4935 復制失敗開始。 4936 復制失敗結束。 4937 延遲的對像已從副本中刪除。 

子類別:目錄服務訪問

ID 消息 4662 一個對象上執行的操作。 

子類別:目錄服務更改

ID 消息 5136 目錄服務對像已修改。 5137 創建目錄服務對象。 5138 目錄服務對像是未被刪除。 5139 目錄服務對象被移動。 請注意可以僅在 Windows Vista Service Pack 1 和 Windows Server 2008 中目錄服務更改子類別中的以下事件。 5141 目錄服務對像已刪除。 

子類別:目錄服務復制

ID 消息 4932 一個 Active Directory 命名上下文的副本的同步已開始。 4933 一個 Active Directory 命名上下文的副本的同步已結束。 

登錄/注銷類別:

擴展模式下的子類別:IPSec

ID 消息 4978 擴展的模式協商,期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明網絡問題或試圖修改或重播此協商。 4979 建立 IPSec 主模式和擴展的模式安全關聯。 4980 建立 IPSec 主模式和擴展的模式安全關聯。 4981 建立 IPSec 主模式和擴展的模式安全關聯。 4982 建立 IPSec 主模式和擴展的模式安全關聯。 4983 一個 IPSec 擴展模式協商失敗。相應的主模式安全關聯已被刪除。 4984 一個 IPSec 擴展模式協商失敗。相應的主模式安全關聯已被刪除。 

子類別:IPSec 主模式

ID 消息 4646 IKE DoS 阻止模式已啟動。 4650 已建立的 IPSec 主模式安全關聯。未啟用擴展的模式。未使用證書身份驗證。 4651 已建立的 IPSec 主模式安全關聯。未啟用擴展的模式。證書用於身份驗證。 9655 一個 IPSec 主模式協商失敗。 4653 一個 IPSec 主模式協商失敗。 4655 IPSec 主模式安全關聯結束。 4976 主模式協商期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明網絡問題或試圖修改或重播此協商。 5049 已刪除 IPSec 安全關聯。 5453 與遠程計算機的 IPSec 協商失敗,因為 IKE 和 AuthIP IPSec 密鑰模塊(IKEEXT) 服務未啟動。 

子類別:IPSec 快速模式

ID 消息 4654 IPsec 快速模式協商失敗。 4977 在快速模式協商 IPSec 接收到無效的協商數據包。如果此問題仍然存在,它可能表明網絡問題或試圖修改或重播此協商。 5451 已建立 IPsec 快速模式安全關聯。 5452 IPsec 快速模式安全關聯結束。 

子類別:注銷

ID 消息 4634 帳戶被注銷。 4647 用戶啟動注銷。 

子類別:登錄

ID 消息 4624 已成功登錄的帳戶。 4625 帳戶登錄失敗。 4648 使用顯式憑據嘗試登錄。 4675 篩選了 SID。 請注意網絡策略服務器子類別中的所有事件都均可僅在 Windows Vista Service Pack 1 和 Windows Server 2008 中。 

子類別:網絡策略服務器

ID 消息 6272 網絡策略服務器向用戶授予訪問權限。 6273 網絡策略服務器拒絕用戶訪問。 6274 網絡策略服務器放棄用戶的請求。 6275 網絡策略服務器放棄用戶的記帳請求。 6276 網絡策略服務器隔離用戶。 6277 網絡策略服務器授予用戶訪問,但將其放置在 probation 因為主機不符合已定義的運行狀況策略。 6278 網絡策略服務器因為主機滿足定義運行狀況策略用戶授予完全訪問權限。 6279 網絡策略服務器鎖定用戶帳戶由於重復的失敗身份驗證嘗試。 6280 網絡策略服務器取消鎖定用戶帳戶。 

子類別:其他登錄/注銷事件

ID 消息 4649 檢測到重播攻擊。 4778 會話已重新連接到窗口站。 4779 在會話被中斷從窗口工作站。 4800 工作站已鎖定。 4801 未鎖定工作站。 4802 調用屏幕保護程序。 4803 屏幕保護程序已關閉。 5378 請求的憑據委派是不允許的策略。 5632 已請求對無線網絡進行身份驗證。 5633 已請求對有線網絡進行身份驗證。 

子類別:特殊登錄

ID 消息 4964 特殊組已分配到一個新的登錄。 

類別:對象訪問

生成的子類別:應用程序

ID 消息 4665 試圖創建應用程序客戶端環境。 4666 應用程序嘗試的操作: 4667 已刪除應用程序客戶端環境。 4668 應用程序已初始化。 

子類別:證書服務

ID 消息 4868 證書管理器已拒絕掛起的證書請求。 4869 證書服務收到 resubmitted 的證書申請。 4870 證書服務吊銷證書。 4871 證書服務收到一個請求發布證書吊銷列表 (CRL)。 4872 證書服務發行證書吊銷列表 (CRL)。 4873 證書請求擴展的更改。 e 1 e 38 d 一個或多個證書請求屬性更改。 4875 證書服務收到一個請求關閉。 4876 證書服務備份啟動。 4877 證書服務備份已完成。 4878 證書服務還原啟動。 4879 證書服務還原已完成。 4880 證書服務啟動。 4881 證書服務已停止。 4882 證書服務安全權限更改。 4883 證書服務檢索存檔的密鑰。 4884 證書服務導入到其數據庫的證書。 4885 證書服務審核篩選器更改。 4886 證書服務收到證書申請。 4887 證書服務批准證書請求並頒發證書。 4888 證書服務拒絕證書請求。 4889 證書服務將證書申請狀態設置為掛起。 4890 證書服務在證書管理器設置更改。 4891 在證書服務中更改一個配置項。 4892 更改的證書服務的屬性。 4893 證書服務存檔一個密鑰。 4894 證書服務導入並存檔一個密鑰。 4895 證書服務發行到 Active Directory 域服務的 CA 證書。 4896 已從證書數據庫中刪除一個或多個行。 4897 啟用角色分離: 4898 證書服務加載模板。 4899 證書服務模板已更新。 4900 證書服務模板安全已更新。 5120 OCSP 響應程序服務啟動。 5121 OCSP 響應程序服務已停止。 5122 配置項更改 OCSP 響應程序服務。 5123 配置項更改 OCSP 響應程序服務。 5124 安全設置已更新 OCSP 響應程序服務。 5125 請求提交到 OCSP 響應程序服務。 5126 簽名證書已自動更新 OCSP 響應程序服務。 5127 OCSP 吊銷提供程序成功更新吊銷信息。 

子類別:文件共享

ID 消息 5140 訪問網絡共享對象。 

子類別:文件系統

ID 消息 4664 試圖創建硬鏈接。 4985 交易記錄的狀態已更改。 5051 文件被虛擬化。 

子類別:篩選平台連接

ID 消息 5031 Windows 防火牆服務阻止應用程序接受網絡上的傳入連接。 5154 Windows 篩選平台具有允許應用程序或服務端口上偵聽傳入的連接。 5155 Windows 篩選平台已阻止應用程序或服務端口上偵聽傳入的連接。 5156 Windows 篩選平台允許連接。 5157 Windows 篩選平台已阻止連接。 5158 Windows 篩選平台具有允許綁定到一個本地端口。 5159 Windows 篩選平台已阻止綁定到一個本地端口。 

子類別:篩選平台數據包放置

ID 消息 5152 Windows 篩選平台阻止數據包。 5153 更嚴格的 Windows 篩選平台篩選已阻止數據包。 

子類別:句柄操作

ID 消息 4656 請求的對象的句柄。 4658 對象句柄已關閉。 4690 試圖復制一個對象的句柄。 

子類別:其他對象訪問事件

ID 消息 4671 應用程序試圖通過在 TBS.訪問被阻止的序號 a 請求間接訪問某個對象。 4698 計劃的任務被創建。 4699 已計劃的任務。 4700 已啟用計劃的任務。 4701 已禁用計劃的任務。 4702 計劃的任務已更新。 5888 COM+ 目錄中的對像已修改。 5889 對像已從 COM+ 目錄中刪除。 5890 一個對象被添加到 COM+ 目錄中。 

子類別:注冊表

ID 消息 4657 修改注冊表值。 5039 注冊表項被虛擬化。 

Special Multi-use Subcategory 的子類別:

內核對象/SAM

請注意以下事件可能生成任何資源管理器啟用了它的子類別時。是例如注冊表資源管理器或文件系統資源管理器,可能會生成以下事件。在”對象訪問:內核對象”和”對象訪問: SAM”子類別是以獨佔方式使用這些事件的子類別的示例。

ID 消息 173 對象的句柄已請求與要刪除的顏色。 4660 已刪除的對象。 4 b 2 請求的對象的句柄。 4663 試圖訪問的對象。 

類別:策略更改

子類別:審核策略更改

ID 消息 4715 在對象上的審核策略 (SACL) 已更改。 4719 系統審核策略已更改。 4902 被創建的每個用戶審核策略表。 4904 試圖注冊安全事件源。 4905 試圖取消注冊安全事件源。 4906 CrashOnAuditFail 值已更改。 4907 對象上的審核設置已更改。 4908 特殊組登錄修改的表。 4912 每用戶審核策略已更改。 

子類別:身份驗證策略更改

ID 消息 4706 新的信任創建以一個域。 4707 已刪除信任域。 4713 Kerberos 策略已更改。 4716 已修改受信任的域信息。 4717 系統安全訪問權限被授予的帳戶。 4718 系統安全訪問權限已從帳戶中刪除。 4864 檢測到命名空間沖突。 4865 添加了一個受信任的林信信息項。 4866 已刪除一個受信任的林信信息項。 4867 已修改一個受信任的林信信息項。 

子類別:授權策略更改

ID 消息 4704 分配用戶權限。 4705 已刪除用戶權限。 4714 加密的數據恢復策略已更改。 

子類別:篩選平台策略更改

ID 消息 4709 IPSec 服務已啟動。 4710 IPSec 服務被禁用。 4711 可能包含以下任何一個: ∙PAStore 引擎在計算機上應用Active Directory 存儲IPSec 策略的本地緩存的副本。 ∙PAStore 引擎在計算機上應用Active Directory 存儲IPSec 策略。 ∙PAStore 引擎在計算機上應用本地注冊表存儲IPSec 策略。 ∙PAStore 引擎無法在計算機上應用Active Directory 存儲IPSec 策略的本地緩存的副本。 ∙PAStore 引擎無法在計算機上應用Active Directory 存儲IPSec 策略。 ∙PAStore 引擎無法在計算機上應用本地注冊表存儲IPSec 策略。 ∙PAStore 引擎無法在計算機上應用活動IPSec 策略的某些規則。 ∙PAStore 引擎無法加載目錄存儲在計算機上的IPSec 策略。 ∙PAStore 引擎加載目錄存儲在計算機上的IPSec 策略。 ∙PAStore 引擎無法加載本地存儲在計算機上的IPSec 策略。 ∙PAStore 引擎加載本地存儲在計算機上的IPSec 策略。 ∙PAStore 引擎輪詢更改活動的IPSec 策略,並檢測到任何更改。 4712 IPSec 服務遇到可能嚴重錯誤。 5040 已被更改 IPSec 設置。已添加身份驗證集。 5041 已被更改 IPSec 設置。已修改的身份驗證集。 5042 已被更改 IPSec 設置。已刪除身份驗證集。 5043 已被更改 IPSec 設置。已添加連接安全規則。 5044 已被更改 IPSec 設置。修改連接安全規則。 5045 已被更改 IPSec 設置。已刪除連接安全規則。 5046 已被更改 IPSec 設置。已添加加密集。 5047 已被更改 IPSec 設置。已修改加密集。 5048 已被更改 IPSec 設置。已刪除加密集。 5440 Windows 篩選平台基本篩選引擎啟動時,出現下列標注。 5441 Windows 篩選平台基本篩選引擎啟動時,出現下面的篩選器。 5442 下面提供程序 Windows 篩選平台基本篩選引擎啟動時,出現。 5443 Windows 篩選平台基本篩選引擎啟動時,出現以下的提供程序上下文。 5444 Windows 篩選平台基本篩選引擎啟動時,出現以下 sub-layer。 5446 已更改 Windows 篩選平台標注。 5448 Windows 篩選平台提供程序已被更改。 5449 Windows 篩選平台提供程序上下文已被更改。 5450 一個 Windows 篩選平台 sub-layer 已被更改。 5456 PAStore 引擎在計算機上應用 Active Directory 存儲 IPSec 策略。 5457 PAStore 引擎無法在計算機上應用 Active Directory 存儲 IPSec 策略。 5458 PAStore 引擎在計算機上應用 Active Directory 存儲 IPSec 策略的本地緩存的副本。 5459 PAStore 引擎無法在計算機上應用 Active Directory 存儲 IPSec 策略的本地緩存的副本。 5460 PAStore 引擎在計算機上應用本地注冊表存儲 IPSec 策略。 5461 PAStore 引擎無法在計算機上應用本地注冊表存儲 IPSec 策略。 5462 PAStore 引擎無法在計算機上應用活動 IPSec 策略的某些規則。使用此 IP 安全監視器管理單元來診斷問題。 5463 PAStore 引擎輪詢更改活動的 IPSec 策略,並檢測到任何更改。 5464 PAStore 引擎在輪詢更改活動的 IPSec 策略,在檢測到更改,並,將它們應用於 IPSec 服務。 5465 PAStore 引擎接收強制重新加載 IPSec 策略的一個控件,並成功處理該控件。 5466 PAStore 引擎輪詢 Active Directory IPSec 策略,確定 Active Directory 無法到達,並將在而是使用 Active Directory IPSec 策略的緩存的副本的更改。對 Active Directory IPSec 策略進行,因為應用上次輪詢的任何更改。 5467 對 Active Directory IPSec 策略,確定 Active Directory 可以是到達,並找到沒有更改該策略更改輪詢 PAStore 引擎。 Active Directory IPSec 策略緩存的副本不再被使用。 5468 對在 Active Directory IPSec 策略更改輪詢 PAStore 引擎確定 Active Directory 可訪問,找到對此的策略更改並應用這些更改。 Active Directory IPSec 策略緩存的副本不再被使用。 5471 PAStore 引擎加載本地存儲在計算機上的 IPSec 策略。 5472 PAStore 引擎無法加載本地存儲在計算機上的 IPSec 策略。 5473 PAStore 引擎加載目錄存儲在計算機上的 IPSec 策略。 5474 PAStore 引擎無法加載目錄存儲在計算機上的 IPSec 策略。 5477 PAStore 引擎無法添加快速模式篩選器。 

子類別:MPSSVC 規則-級別策略更改

ID 消息 4944 以下策略在 Windows 防火牆啟動時活動。 4945 Windows 防火牆啟動時,將被列出規則。 4946 已被更改 Windows 防火牆例外列表。已添加一個規則。 4947 已被更改 Windows 防火牆例外列表。規則已修改。 4948 已被更改 Windows 防火牆例外列表。已刪除一個規則。 4949 Windows 防火牆設置恢復為默認值。 4950 Windows 防火牆設置已更改。 4951 一個規則已被忽略,因為 Windows 防火牆無法識別其主要版本號。 4952 已忽略規則的部分,因為 Windows 防火牆無法識別的次要版本號。將強制執行規則的其他部分。 4953 規則已被忽略的 Windows 防火牆中,因為它無法分析該規則。 4954 Windows 防火牆組策略設置已更改。已應用新設置。 4956 Windows 防火牆已在活動配置文件。 4957 Windows 防火牆沒有應用以下規則: 4958 Windows 防火牆沒有應用以下規則,因為該規則引用未配置此計算機上的項目: 5050 嘗試以編程方式禁用 Windows 防火牆通過 INetFwProfile.FirewallEnabled(FALSE) 接口調用被拒絕,因為此 API 不支持Windows Vista。這很可能出現由於到這是與 Windows Vista 不兼容程序。請與程序的製造商聯系,以確保您具有 Windows Vista 兼容的程序版本。 

子類別:其他策略更改事件

ID 消息 4909 本地策略設置為在 TBS 已更改。 4910 組策略設置為在 TBS 已更改。 5063 嘗試加密提供程序操作。 5064 試圖加密上下文的操作。 5065 試圖加密上下文修改。 5066 嘗試加密函數操作。 5067 試圖加密函數修改。 5068 試圖加密的函數提供程序操作。 5069 試圖加密的函數的屬性操作。 5070 試圖加密函數屬性修改。 5447 已更改 Windows 篩選平台篩選器。 6144 已成功應用組策略對象中的安全策略。 6145 處理組策略對象中的安全策略時出現一個或多個錯誤。 Special Multi-use Subcategory 的子類別: 請注意以下事件可能生成任何資源管理器啟用了它的子類別時。是例如注冊表資源管理器或文件系統資源管理器,可能會生成以下事件。 ID 消息 4670 在對象上的權限已更改。 

類別:權限使用

子類別:敏感權限使用/ 非敏特權使用

ID 消息 4672 分配給新的登錄的特殊權限。 4673 調用權限的服務。 4674 一個權限對象上嘗試的操作。 類別:系統 

子類別:IPSec 驅動程序

ID 消息 4960 IPSec 丟棄的入站的數據包的完整性檢查。如果此問題仍然存在,它可能表示網絡問題或該數據包被修改傳遞到此計算機。驗證從遠程計算機發送的數據包接收此計算機的對話框相同。此錯誤也可能表示與其他 IPSec 實現互操作性問題。 4961 IPSec 丟棄的入站的數據包重播檢查失敗。如果此問題仍然存在,它可能表明對此計算機的重播攻擊。 4962 IPSec 丟棄的入站的數據包重播檢查失敗。入站的數據包必須以確保它不在重放得太低一個序列號。 4963 IPSec 丟棄應保護的入站的明文形式數據包。這通常是由於到遠程計算機的IPSec 策略更改而不通知這台計算機。這也可能是一個欺騙攻擊嘗試。 4965 IPsec 從帶有不正確的安全參數索引 (SPI) 的遠程計算機收到一個數據包。這通常是在損壞的數據包的故障硬件造成的。如果這些錯誤仍然存在,驗證從遠程計算機發送的數據包是否接收此計算機的對話框相同。此錯誤也可能表示與其他 IPSec 實現互操作性問題。在這種情況下如果連接不 impeded,然後這些事件可以被忽略。 5478 已成功啟動 IPSec 服務。 5479 已成功關閉 IPSec 服務。關閉 IPSec 服務可以將計算機的網絡攻擊的更高風險或公開計算機可能存在安全風險。 5480 IPSec 服務無法獲取完整的計算機上的網絡接口列表。這會帶來潛在的安全風險,因為網絡接口的一些可能無法獲得提供應用的 IPSec 篩選保護。使用此 IP 安全監視器管理單元來診斷問題。 5483 IPSec 服務無法初始化 RPC 服務器。無法啟動 IPSec 服務。 5484 IPSec 服務遇到嚴重錯誤,,已關閉。關閉 IPSec 服務可以將計算機的網絡攻擊的更高風險或公開計算機可能存在安全風險。 5485 IPSec 服務無法處理網絡接口的即插即用事件上某些 IPsec 篩選器。這會帶來潛在的安全風險,因為網絡接口的一些可能無法獲得提供應用的 IPSec 篩選保護。使用此 IP 安全監視器管理單元來診斷問題。 

子類別:其他的系統事件

ID 消息 5024 Windows 防火牆服務已成功啟動。 5025 Windows 防火牆服務已停止。 5027 Windows 防火牆服務無法從本地存儲中檢索安全策略。服務將繼續實施當前策略。 5028 Windows 防火牆服務無法分析新安全策略。該服務將繼續當前實施的策略。 5029 Windows 防火牆服務無法初始化驅動程序。該服務將繼續實施當前策略。 5030 Windows 防火牆服務無法啟動。 5032 Windows 防火牆不能以通知用戶它阻止應用程序接受網絡上的傳入連接。 5033 Windows 防火牆驅動程序已成功啟動。 5034 Windows 防火牆驅動程序已停止。 5035 Windows 防火牆驅動程序無法啟動。 5037 Windows 防火牆驅動程序檢測到關鍵運行時錯誤。終止。 5058 密鑰文件操作。 5059 密鑰的遷移操作。 

子類別:安全狀態更改

ID 消息 4608 Windows 正在啟動。 4609 Windows 正在關閉。 4616 系統時間已更改。 4621 管理員從 CrashOnAuditFail 中恢復系統。非管理員用戶將現在允許登錄。一些可審核的活動可能未記錄。 

子類別:安全系統擴展

ID 消息 4610 已由本地安全授權加載的身份驗證包。 4611 受信任的登錄進程已在本地安全機構注冊。 4614 安全帳戶管理器已加載通知包。 a-4622-ac 45-a 已由本地安全授權加載安全程序包。 4697 在系統中安裝服務。 

子類別:系統完整性

ID 消息 4612 為的審核消息隊列分配的內部資源已被用盡,導致某些審核會丟失。 4615 LPC 端口的無效使用。 4618 監視的安全事件模式出現。 4816 RPC 檢測到解密傳入的郵件時的完整性沖突。 5038 代碼完整性確定文件的圖像哈希值是無效。該文件可能損壞由於到未經授權的修改,或者無效哈希可能表明潛在的磁盤設備錯誤。 5056 執行加密的自檢。 5057 加密基元操作失敗。 5060 驗證操作失敗。 5061 加密操作。 5062 執行一個內核模式加密自檢。 

說明

要返回更詳細的所有安全審核事件條目,在提升的命令提示符以管理員身份運行以下命令列表: wevtutil gp Microsoft Windows 的安全的審核 /ge /gm:true 下面的示例演示輸出的部分: event: value: 4706 version: 0 opcode: 0 channel: 10 level: 4 task: 0 keywords: 0x8000000000000000 message: A new trust was created to a domain. Subject: Security ID: Security ID Account Name: Account Name Account Domain: Account Domain Logon ID: Logon ID Trusted Domain: Domain Name: Domain Name Domain ID: Domain ID Trust Information: Trust Type: Trust Type Trust Direction: Trust Direction Trust Attributes: Trust Attributes SID Filtering: SID Filtering