Windows常見操作系統應急響應流程—日誌分析篇

類別:帳戶管理

子類別:應用程序組管理

ID
消息
4783
已創建基本的應用程序組。
4784
基本應用程序組已被更改。
4785
已將成員添加到基本應用程序組。4786
已從基本應用程序組中刪除一個成員。
4787
非成員已添加到基本應用程序組。
4788
非成員已從刪除基本應用程序組。
4789
基本應用程序組已刪除。
4790
LDAP 查詢組被創建。
4791
基本應用程序組已被更改。
4792
LDAP 查詢組已刪除。

子類別:計算機帳戶管理

ID
消息
4741
創建一個計算機帳戶。
4742
已更改計算機帳戶。
4743
計算機帳戶被刪除。

子類別:通訊組管理

ID
消息
4744
已創建禁用安全的本地組。
4745
已更改禁用安全的本地組。
4746
已將成員添加到禁用安全的本地組。
4747
從禁用安全的本地組已刪除成員。
4748
已刪除禁用安全的本地組。
4749
已創建在禁用安全的全局組。
4750
已更改禁用安全的全局組。
4751
已將成員添加到禁用安全的全局組。
4752
已從禁用安全的全局組中刪除一個成員。
4753
已刪除禁用安全的全局組。
4759
已創建一個安全的禁用通用組。
4760
更改一個的禁用安全的通用組時。
00
已將成員添加到禁用安全的通用組。
4762
已從禁用安全的通用組中刪除成員。

子類別:其他帳戶管理事件

ID
消息
4739
域策略已更改。
4782
訪問密碼哈希的帳戶。
4793
密碼策略檢查 API 被調用。

子類別:安全組管理

ID
消息
4727
已創建在啟用安全的全局組。
4728
已將成員添加到啟用安全的全局組。
4729
已從啟用安全的全局組中刪除一個成員。
4730
已刪除啟用安全的全局組。
4731
已創建啟用安全的本地組。
4732
已將成員添加到啟用安全的本地組。
4733
從啟用安全的本地組已刪除成員。
4734
已刪除啟用安全的本地組。
4735
已更改啟用安全的本地組。
4737
已更改啟用安全的全局組。
4754
已創建一個的啟用安全的通用組。
4755
已更改一個的啟用安全的通用組。
4756
已將成員添加到啟用安全的通用組。
4757
從啟用安全的通用組已刪除成員。
4758
已刪除啟用安全的通用組。
4764
組已經類型已更改。

子類別:用戶帳戶管理

ID
消息
4720
創建了用戶帳戶。
4722
已啟用用戶帳戶。
4723
試圖更改帳戶的密碼。
4724
試圖重置帳戶的密碼。
4725
用戶帳戶已禁用。
4726
用戶帳戶被刪除。
4738
已更改用戶帳戶。
4740
已鎖定一個用戶帳戶。
4765
SID 歷史記錄被添加到一個帳戶中。
4766
嘗試向一個帳戶的 SID 歷史記錄失敗。
4767
未鎖定用戶帳戶。
4780
Administrators 組的成員的帳戶上設置 ACL。
4781
帳戶的名稱已更改:
4794
試圖設置目錄服務還原模式。
5376
憑據管理器的憑據進行備份。
5377
憑據管理器的憑據是從備份還原的。

類別:詳細跟蹤

子類別:DPAPI 活動

ID
消息
1
嘗試的數據保護主密鑰備份。
4693
試圖恢復數據保護主密鑰。
4694
試圖保護可審核的受保護數據。
4695
試圖 unprotection 的可審核的受保護數據。

子類別:進程創建

ID
消息
4688
已創建一個新進程。
4696
主令牌被分配給處理。

子類別: 進程終止

ID
消息
4689
進程已退出。

子類別:RPC 事件

ID
消息
5712
試圖遠程過程調用 (RPC)。

類別:DS 訪問

子類別:詳細的目錄服務復制

ID
消息
4928
已建立的 Active Directory 副本源命名上下文。
4929
已刪除的 Active Directory 副本源命名上下文。
4930
修改 Active Directory 副本源命名上下文。4931
修改 Active Directory 副本目標命名上下文。
4934
Active Directory 對象的屬性被復制。
4935
復制失敗開始。
4936
復制失敗結束。
4937
延遲的對像已從副本中刪除。

子類別:目錄服務訪問

ID
消息
4662
一個對象上執行的操作。

子類別:目錄服務更改

ID
消息
5136
目錄服務對像已修改。
5137
創建目錄服務對象。
5138
目錄服務對像是未被刪除。
5139
目錄服務對象被移動。
請注意可以僅在 Windows Vista Service Pack 1 和 Windows Server 2008 中目錄服務更改子類別中的以下事件。
5141
目錄服務對像已刪除。

子類別:目錄服務復制

ID
消息
4932
一個 Active Directory 命名上下文的副本的同步已開始。
4933
一個 Active Directory 命名上下文的副本的同步已結束。

登錄/注銷類別:

擴展模式下的子類別:IPSec

ID
消息
4978
擴展的模式協商,期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明網絡問題或試圖修改或重播此協商。
4979
建立 IPSec 主模式和擴展的模式安全關聯。
4980
建立 IPSec 主模式和擴展的模式安全關聯。
4981
建立 IPSec 主模式和擴展的模式安全關聯。
4982
建立 IPSec 主模式和擴展的模式安全關聯。
4983
一個 IPSec 擴展模式協商失敗。相應的主模式安全關聯已被刪除。
4984
一個 IPSec 擴展模式協商失敗。相應的主模式安全關聯已被刪除。

子類別:IPSec 主模式

ID
消息
4646
IKE DoS 阻止模式已啟動。
4650
已建立的 IPSec 主模式安全關聯。未啟用擴展的模式。未使用證書身份驗證。
4651
已建立的 IPSec 主模式安全關聯。未啟用擴展的模式。證書用於身份驗證。
9655
一個 IPSec 主模式協商失敗。
4653
一個 IPSec 主模式協商失敗。
4655
IPSec 主模式安全關聯結束。
4976
主模式協商期間 IPsec 收到無效的協商數據包。如果此問題仍然存在,它可能表明網絡問題或試圖修改或重播此協商。
5049
已刪除 IPSec 安全關聯。
5453
與遠程計算機的 IPSec 協商失敗,因為 IKE 和 AuthIP IPSec 密鑰模塊(IKEEXT) 服務未啟動。

子類別:IPSec 快速模式

ID
消息
4654
IPsec 快速模式協商失敗。
4977
在快速模式協商 IPSec 接收到無效的協商數據包。如果此問題仍然存在,它可能表明網絡問題或試圖修改或重播此協商。
5451
已建立 IPsec 快速模式安全關聯。
5452
IPsec 快速模式安全關聯結束。

子類別:注銷

ID
消息
4634
帳戶被注銷。
4647
用戶啟動注銷。

子類別:登錄

ID
消息
4624
已成功登錄的帳戶。
4625
帳戶登錄失敗。
4648
使用顯式憑據嘗試登錄。
4675
篩選了 SID。
請注意網絡策略服務器子類別中的所有事件都均可僅在 Windows Vista Service Pack 1 和 Windows Server 2008 中。

子類別:網絡策略服務器

ID
消息
6272
網絡策略服務器向用戶授予訪問權限。
6273
網絡策略服務器拒絕用戶訪問。
6274
網絡策略服務器放棄用戶的請求。
6275
網絡策略服務器放棄用戶的記帳請求。
6276
網絡策略服務器隔離用戶。
6277
網絡策略服務器授予用戶訪問,但將其放置在 probation 因為主機不符合已定義的運行狀況策略。
6278
網絡策略服務器因為主機滿足定義運行狀況策略用戶授予完全訪問權限。
6279
網絡策略服務器鎖定用戶帳戶由於重復的失敗身份驗證嘗試。
6280
網絡策略服務器取消鎖定用戶帳戶。

子類別:其他登錄/注銷事件

ID
消息
4649
檢測到重播攻擊。
4778
會話已重新連接到窗口站。
4779
在會話被中斷從窗口工作站。
4800
工作站已鎖定。
4801
未鎖定工作站。
4802
調用屏幕保護程序。
4803
屏幕保護程序已關閉。
5378
請求的憑據委派是不允許的策略。
5632
已請求對無線網絡進行身份驗證。
5633
已請求對有線網絡進行身份驗證。

子類別:特殊登錄

ID
消息
4964
特殊組已分配到一個新的登錄。

類別:對象訪問

生成的子類別:應用程序

ID
消息
4665
試圖創建應用程序客戶端環境。
4666
應用程序嘗試的操作:
4667
已刪除應用程序客戶端環境。
4668
應用程序已初始化。

子類別:證書服務

ID
消息
4868
證書管理器已拒絕掛起的證書請求。
4869
證書服務收到 resubmitted 的證書申請。
4870
證書服務吊銷證書。
4871
證書服務收到一個請求發布證書吊銷列表 (CRL)。
4872
證書服務發行證書吊銷列表 (CRL)。
4873
證書請求擴展的更改。
e 1 e 38 d
一個或多個證書請求屬性更改。
4875
證書服務收到一個請求關閉。
4876
證書服務備份啟動。
4877
證書服務備份已完成。
4878
證書服務還原啟動。
4879
證書服務還原已完成。
4880
證書服務啟動。
4881
證書服務已停止。
4882
證書服務安全權限更改。
4883
證書服務檢索存檔的密鑰。
4884
證書服務導入到其數據庫的證書。
4885
證書服務審核篩選器更改。
4886
證書服務收到證書申請。
4887
證書服務批准證書請求並頒發證書。
4888
證書服務拒絕證書請求。
4889
證書服務將證書申請狀態設置為掛起。
4890
證書服務在證書管理器設置更改。
4891
在證書服務中更改一個配置項。
4892
更改的證書服務的屬性。
4893
證書服務存檔一個密鑰。
4894
證書服務導入並存檔一個密鑰。
4895
證書服務發行到 Active Directory 域服務的 CA 證書。
4896
已從證書數據庫中刪除一個或多個行。
4897
啟用角色分離:
4898
證書服務加載模板。
4899
證書服務模板已更新。
4900
證書服務模板安全已更新。
5120
OCSP 響應程序服務啟動。
5121
OCSP 響應程序服務已停止。
5122
配置項更改 OCSP 響應程序服務。
5123
配置項更改 OCSP 響應程序服務。
5124
安全設置已更新 OCSP 響應程序服務。
5125
請求提交到 OCSP 響應程序服務。
5126
簽名證書已自動更新 OCSP 響應程序服務。
5127
OCSP 吊銷提供程序成功更新吊銷信息。

子類別:文件共享

ID
消息
5140
訪問網絡共享對象。

子類別:文件系統

ID
消息
4664
試圖創建硬鏈接。
4985
交易記錄的狀態已更改。
5051
文件被虛擬化。

子類別:篩選平台連接

ID
消息
5031
Windows 防火牆服務阻止應用程序接受網絡上的傳入連接。
5154
Windows 篩選平台具有允許應用程序或服務端口上偵聽傳入的連接。
5155
Windows 篩選平台已阻止應用程序或服務端口上偵聽傳入的連接。
5156
Windows 篩選平台允許連接。
5157
Windows 篩選平台已阻止連接。
5158
Windows 篩選平台具有允許綁定到一個本地端口。
5159
Windows 篩選平台已阻止綁定到一個本地端口。

子類別:篩選平台數據包放置

ID
消息
5152
Windows 篩選平台阻止數據包。
5153
更嚴格的 Windows 篩選平台篩選已阻止數據包。

子類別:句柄操作

ID
消息
4656
請求的對象的句柄。
4658
對象句柄已關閉。
4690
試圖復制一個對象的句柄。

子類別:其他對象訪問事件

ID
消息
4671
應用程序試圖通過在 TBS.訪問被阻止的序號
a
請求間接訪問某個對象。
4698
計劃的任務被創建。
4699
已計劃的任務。
4700
已啟用計劃的任務。
4701
已禁用計劃的任務。
4702
計劃的任務已更新。
5888
COM+ 目錄中的對像已修改。
5889
對像已從 COM+ 目錄中刪除。
5890
一個對象被添加到 COM+ 目錄中。

子類別:注冊表

ID
消息
4657
修改注冊表值。
5039
注冊表項被虛擬化。

Special Multi-use Subcategory 的子類別:

內核對象/SAM

請注意以下事件可能生成任何資源管理器啟用了它的子類別時。是例如注冊表資源管理器或文件系統資源管理器,可能會生成以下事件。在”對象訪問:內核對象”和”對象訪問: SAM”子類別是以獨佔方式使用這些事件的子類別的示例。

ID
消息
173
對象的句柄已請求與要刪除的顏色。
4660
已刪除的對象。
4 b 2
請求的對象的句柄。
4663
試圖訪問的對象。

類別:策略更改

子類別:審核策略更改

ID
消息
4715
在對象上的審核策略 (SACL) 已更改。
4719
系統審核策略已更改。
4902
被創建的每個用戶審核策略表。
4904
試圖注冊安全事件源。
4905
試圖取消注冊安全事件源。
4906
CrashOnAuditFail 值已更改。
4907
對象上的審核設置已更改。
4908
特殊組登錄修改的表。
4912
每用戶審核策略已更改。

子類別:身份驗證策略更改

ID
消息
4706
新的信任創建以一個域。
4707
已刪除信任域。
4713
Kerberos 策略已更改。
4716
已修改受信任的域信息。
4717
系統安全訪問權限被授予的帳戶。
4718
系統安全訪問權限已從帳戶中刪除。
4864
檢測到命名空間沖突。
4865
添加了一個受信任的林信信息項。
4866
已刪除一個受信任的林信信息項。
4867
已修改一個受信任的林信信息項。

子類別:授權策略更改

ID
消息
4704
分配用戶權限。
4705
已刪除用戶權限。
4714
加密的數據恢復策略已更改。

子類別:篩選平台策略更改

ID
消息
4709
IPSec 服務已啟動。
4710
IPSec 服務被禁用。
4711
可能包含以下任何一個:
∙PAStore 引擎在計算機上應用Active Directory 存儲IPSec 策略的本地緩存的副本。
∙PAStore 引擎在計算機上應用Active Directory 存儲IPSec 策略。
∙PAStore 引擎在計算機上應用本地注冊表存儲IPSec 策略。
∙PAStore 引擎無法在計算機上應用Active Directory 存儲IPSec 策略的本地緩存的副本。
∙PAStore 引擎無法在計算機上應用Active Directory 存儲IPSec 策略。
∙PAStore 引擎無法在計算機上應用本地注冊表存儲IPSec 策略。
∙PAStore 引擎無法在計算機上應用活動IPSec 策略的某些規則。
∙PAStore 引擎無法加載目錄存儲在計算機上的IPSec 策略。
∙PAStore 引擎加載目錄存儲在計算機上的IPSec 策略。
∙PAStore 引擎無法加載本地存儲在計算機上的IPSec 策略。
∙PAStore 引擎加載本地存儲在計算機上的IPSec 策略。
∙PAStore 引擎輪詢更改活動的IPSec 策略,並檢測到任何更改。
4712
IPSec 服務遇到可能嚴重錯誤。
5040
已被更改 IPSec 設置。已添加身份驗證集。
5041
已被更改 IPSec 設置。已修改的身份驗證集。
5042
已被更改 IPSec 設置。已刪除身份驗證集。
5043
已被更改 IPSec 設置。已添加連接安全規則。
5044
已被更改 IPSec 設置。修改連接安全規則。
5045
已被更改 IPSec 設置。已刪除連接安全規則。
5046
已被更改 IPSec 設置。已添加加密集。
5047
已被更改 IPSec 設置。已修改加密集。
5048
已被更改 IPSec 設置。已刪除加密集。
5440
Windows 篩選平台基本篩選引擎啟動時,出現下列標注。
5441
Windows 篩選平台基本篩選引擎啟動時,出現下面的篩選器。
5442
下面提供程序 Windows 篩選平台基本篩選引擎啟動時,出現。
5443
Windows 篩選平台基本篩選引擎啟動時,出現以下的提供程序上下文。
5444
Windows 篩選平台基本篩選引擎啟動時,出現以下 sub-layer。
5446
已更改 Windows 篩選平台標注。
5448
Windows 篩選平台提供程序已被更改。
5449
Windows 篩選平台提供程序上下文已被更改。
5450
一個 Windows 篩選平台 sub-layer 已被更改。
5456
PAStore 引擎在計算機上應用 Active Directory 存儲 IPSec 策略。
5457
PAStore 引擎無法在計算機上應用 Active Directory 存儲 IPSec 策略。
5458
PAStore 引擎在計算機上應用 Active Directory 存儲 IPSec 策略的本地緩存的副本。
5459
PAStore 引擎無法在計算機上應用 Active Directory 存儲 IPSec 策略的本地緩存的副本。
5460
PAStore 引擎在計算機上應用本地注冊表存儲 IPSec 策略。
5461
PAStore 引擎無法在計算機上應用本地注冊表存儲 IPSec 策略。
5462
PAStore 引擎無法在計算機上應用活動 IPSec 策略的某些規則。使用此 IP 安全監視器管理單元來診斷問題。
5463
PAStore 引擎輪詢更改活動的 IPSec 策略,並檢測到任何更改。
5464
PAStore 引擎在輪詢更改活動的 IPSec 策略,在檢測到更改,並,將它們應用於 IPSec 服務。
5465
PAStore 引擎接收強制重新加載 IPSec 策略的一個控件,並成功處理該控件。
5466
PAStore 引擎輪詢 Active Directory IPSec 策略,確定 Active Directory 無法到達,並將在而是使用 Active Directory IPSec 策略的緩存的副本的更改。對 Active Directory IPSec 策略進行,因為應用上次輪詢的任何更改。
5467
對 Active Directory IPSec 策略,確定 Active Directory 可以是到達,並找到沒有更改該策略更改輪詢 PAStore 引擎。 Active Directory IPSec 策略緩存的副本不再被使用。
5468
對在 Active Directory IPSec 策略更改輪詢 PAStore 引擎確定 Active Directory 可訪問,找到對此的策略更改並應用這些更改。 Active Directory IPSec 策略緩存的副本不再被使用。
5471
PAStore 引擎加載本地存儲在計算機上的 IPSec 策略。
5472
PAStore 引擎無法加載本地存儲在計算機上的 IPSec 策略。
5473
PAStore 引擎加載目錄存儲在計算機上的 IPSec 策略。
5474
PAStore 引擎無法加載目錄存儲在計算機上的 IPSec 策略。
5477
PAStore 引擎無法添加快速模式篩選器。

子類別:MPSSVC 規則-級別策略更改

ID
消息
4944
以下策略在 Windows 防火牆啟動時活動。
4945
Windows 防火牆啟動時,將被列出規則。
4946
已被更改 Windows 防火牆例外列表。已添加一個規則。
4947
已被更改 Windows 防火牆例外列表。規則已修改。
4948
已被更改 Windows 防火牆例外列表。已刪除一個規則。
4949
Windows 防火牆設置恢復為默認值。
4950
Windows 防火牆設置已更改。
4951
一個規則已被忽略,因為 Windows 防火牆無法識別其主要版本號。
4952
已忽略規則的部分,因為 Windows 防火牆無法識別的次要版本號。將強制執行規則的其他部分。
4953
規則已被忽略的 Windows 防火牆中,因為它無法分析該規則。
4954
Windows 防火牆組策略設置已更改。已應用新設置。
4956
Windows 防火牆已在活動配置文件。
4957
Windows 防火牆沒有應用以下規則:
4958
Windows 防火牆沒有應用以下規則,因為該規則引用未配置此計算機上的項目:
5050
嘗試以編程方式禁用 Windows 防火牆通過
INetFwProfile.FirewallEnabled(FALSE) 接口調用被拒絕,因為此 API 不支持Windows Vista。這很可能出現由於到這是與 Windows Vista 不兼容程序。請與程序的製造商聯系,以確保您具有 Windows Vista 兼容的程序版本。

子類別:其他策略更改事件

ID
消息
4909
本地策略設置為在 TBS 已更改。
4910
組策略設置為在 TBS 已更改。
5063
嘗試加密提供程序操作。
5064
試圖加密上下文的操作。
5065
試圖加密上下文修改。
5066
嘗試加密函數操作。
5067
試圖加密函數修改。
5068
試圖加密的函數提供程序操作。
5069
試圖加密的函數的屬性操作。
5070
試圖加密函數屬性修改。
5447
已更改 Windows 篩選平台篩選器。
6144
已成功應用組策略對象中的安全策略。
6145
處理組策略對象中的安全策略時出現一個或多個錯誤。
Special Multi-use Subcategory 的子類別:
請注意以下事件可能生成任何資源管理器啟用了它的子類別時。是例如注冊表資源管理器或文件系統資源管理器,可能會生成以下事件。
ID
消息
4670
在對象上的權限已更改。

類別:權限使用

子類別:敏感權限使用/ 非敏特權使用

ID
消息
4672
分配給新的登錄的特殊權限。
4673
調用權限的服務。
4674
一個權限對象上嘗試的操作。
類別:系統

子類別:IPSec 驅動程序

ID
消息
4960
IPSec 丟棄的入站的數據包的完整性檢查。如果此問題仍然存在,它可能表示網絡問題或該數據包被修改傳遞到此計算機。驗證從遠程計算機發送的數據包接收此計算機的對話框相同。此錯誤也可能表示與其他 IPSec 實現互操作性問題。
4961
IPSec 丟棄的入站的數據包重播檢查失敗。如果此問題仍然存在,它可能表明對此計算機的重播攻擊。
4962
IPSec 丟棄的入站的數據包重播檢查失敗。入站的數據包必須以確保它不在重放得太低一個序列號。
4963
IPSec 丟棄應保護的入站的明文形式數據包。這通常是由於到遠程計算機的IPSec 策略更改而不通知這台計算機。這也可能是一個欺騙攻擊嘗試。
4965
IPsec 從帶有不正確的安全參數索引 (SPI) 的遠程計算機收到一個數據包。這通常是在損壞的數據包的故障硬件造成的。如果這些錯誤仍然存在,驗證從遠程計算機發送的數據包是否接收此計算機的對話框相同。此錯誤也可能表示與其他 IPSec 實現互操作性問題。在這種情況下如果連接不 impeded,然後這些事件可以被忽略。
5478
已成功啟動 IPSec 服務。
5479
已成功關閉 IPSec 服務。關閉 IPSec 服務可以將計算機的網絡攻擊的更高風險或公開計算機可能存在安全風險。
5480
IPSec 服務無法獲取完整的計算機上的網絡接口列表。這會帶來潛在的安全風險,因為網絡接口的一些可能無法獲得提供應用的 IPSec 篩選保護。使用此 IP 安全監視器管理單元來診斷問題。
5483
IPSec 服務無法初始化 RPC 服務器。無法啟動 IPSec 服務。
5484
IPSec 服務遇到嚴重錯誤,,已關閉。關閉 IPSec 服務可以將計算機的網絡攻擊的更高風險或公開計算機可能存在安全風險。
5485
IPSec 服務無法處理網絡接口的即插即用事件上某些 IPsec 篩選器。這會帶來潛在的安全風險,因為網絡接口的一些可能無法獲得提供應用的 IPSec 篩選保護。使用此 IP 安全監視器管理單元來診斷問題。

子類別:其他的系統事件

ID
消息
5024
Windows 防火牆服務已成功啟動。
5025
Windows 防火牆服務已停止。
5027
Windows 防火牆服務無法從本地存儲中檢索安全策略。服務將繼續實施當前策略。
5028
Windows 防火牆服務無法分析新安全策略。該服務將繼續當前實施的策略。
5029
Windows 防火牆服務無法初始化驅動程序。該服務將繼續實施當前策略。
5030
Windows 防火牆服務無法啟動。
5032
Windows 防火牆不能以通知用戶它阻止應用程序接受網絡上的傳入連接。
5033
Windows 防火牆驅動程序已成功啟動。
5034
Windows 防火牆驅動程序已停止。
5035
Windows 防火牆驅動程序無法啟動。
5037
Windows 防火牆驅動程序檢測到關鍵運行時錯誤。終止。
5058
密鑰文件操作。
5059
密鑰的遷移操作。

子類別:安全狀態更改

ID
消息
4608
Windows 正在啟動。
4609
Windows 正在關閉。
4616
系統時間已更改。
4621
管理員從 CrashOnAuditFail 中恢復系統。非管理員用戶將現在允許登錄。一些可審核的活動可能未記錄。

子類別:安全系統擴展

ID
消息
4610
已由本地安全授權加載的身份驗證包。
4611
受信任的登錄進程已在本地安全機構注冊。
4614
安全帳戶管理器已加載通知包。
a-4622-ac 45-a
已由本地安全授權加載安全程序包。
4697
在系統中安裝服務。

子類別:系統完整性

ID
消息
4612
為的審核消息隊列分配的內部資源已被用盡,導致某些審核會丟失。
4615
LPC 端口的無效使用。
4618
監視的安全事件模式出現。
4816
RPC 檢測到解密傳入的郵件時的完整性沖突。
5038
代碼完整性確定文件的圖像哈希值是無效。該文件可能損壞由於到未經授權的修改,或者無效哈希可能表明潛在的磁盤設備錯誤。
5056
執行加密的自檢。
5057
加密基元操作失敗。
5060
驗證操作失敗。
5061
加密操作。
5062
執行一個內核模式加密自檢。

說明

要返回更詳細的所有安全審核事件條目,在提升的命令提示符以管理員身份運行以下命令列表:
wevtutil gp Microsoft Windows 的安全的審核 /ge /gm:true
下面的示例演示輸出的部分:
event:
value: 4706
version: 0
opcode: 0
channel: 10
level: 4
task: 0
keywords: 0x8000000000000000
message: A new trust was created to a domain. Subject:
Security ID: Security ID
Account Name: Account Name
Account Domain: Account Domain
Logon ID: Logon ID
Trusted Domain:
Domain Name: Domain Name
Domain ID: Domain ID
Trust Information:
Trust Type: Trust Type
Trust Direction: Trust Direction
Trust Attributes: Trust Attributes
SID Filtering: SID Filtering