审核事件描述

1、审核帐户登录事件描述该安全设置确定是否审核在这台计算机用于验证帐户时，用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户帐户进行身份验证时，将产生帐户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时，将产生登录事件。该事件记录在本地安全日志中。不产生帐户注销事件。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。当某个帐户的登录成功时，成功审核会生成审核项。当某个帐户的登录失败时，失败审核会生成审核项。 要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“

2、成功”和“失败”复选框。如果在域控制器上启用了帐户登录事件的成功审核，则将为该域控制器所验证的每位用户记录一个条目，即使用户实际登录的是加入到该域的工作站。默认值：成功。配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。帐户登录事件 672 已成功发布并确认验证服务 (AS) 票证。 673 已授予票证授予服务 (TGS) 票证。 674 安全主体续订 AS 票证或 TGS 票证。 675 预身份验证失败。当用户键入不正确的密码时，将在密钥

3、发行中心 (KDC) 上产生该事件。 676 身份验证票证请求失败。在 Windows XP 或 Windows Server 2003 家族中不会生成该事件。 677 不授予 TGS 票证。在 Windows XP 或 Windows Server 2003 家族中不会生成该事件。 678 帐户已成功映射到域帐户。 681 登录失败。已尝试使用域帐户登录。在 Windows XP 或 Windows Server 2003 家族中不会生成该事件。 682 用户已经重新连接到一个断开的终端服务器会话。 683 用户在没有注销的情况下与某个终端服务器会话断开连接。 审核帐户管理描述该安全设置确定

4、是否审核计算机上的每一个帐户管理事件。帐户管理事件的例子包括：创建、更改或删除用户帐户或组。 重命名、禁用或启用用户帐户。 设置或更改密码。 如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。任何帐户管理事件成功时，成功审核都会生成审核项。任何帐户管理事件失败时，失败审核都会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。默认值： 域控制器上的成功。 成员服务器上的无审核。 配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows

5、设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。帐户管理事件 624 已创建用户帐户。 627 已更改用户密码。 628 已设置用户密码。 630 已删除用户帐户。 631 已创建全局组。 632 已将成员添加到全局组。 633 已从全局组删除成员。 634 已删除全局组。 635 已创建新的本地组。 636 已将成员添加到本地组。 637 已从本地组删除成员。 638 已删除本地组。 639 已更改本地组帐户。 641 已更改全局组帐户。 642 已更改用户帐户。 643 已修改域策略。 644 已自动锁定用户帐户。 645 已创建计算

6、机帐户。 646 已更改计算机帐户。 647 已删除计算机帐户。 648 已创建禁用安全的本地安全组。注意：/B> 正式名称中的 SECURITY_DISABLED 意味着不能使用该组在访问权限检查中进行授权。649 已更改禁用安全的本地安全组。 650 已将成员添加到禁用安全的本地安全组。 651 已经从禁用安全的本地安全组中删除成员。 652 已删除禁用安全的本地组。 653 已创建禁用安全的全局组。 654 已更改禁用安全的全局组。 655 已将成员添加到禁用安全的全局组。 656 已从禁用安全的全局组中删除成员。 657 已删除禁用安全的全局组。 658 已创建启用安全的通用组。

7、 659 已更改启用安全的通用组。 660 已将成员添加到启用安全的通用组。 661 已从启用安全的通用组中删除成员。 662 已删除启用安全的通用组。 663 已创建禁用安全的通用组。 664 已更改禁用安全的通用组。 665 已将成员添加到禁用安全的通用组。 666 已从禁用安全的通用组中删除成员。 667 已删除禁用安全的通用组。 668 已更改组类型。 684 设置管理组中成员的安全描述符。注意：域控制器上的一个后台线程每 60 分钟搜索一次管理组中的所有成员（例如域、企业和计划管理员）并对这些成员应用固定的安全描述符。已记录该事件。 685 已更改帐户名称。 审核目录服务访问描述该安

8、全设置确定是否审核用户访问那些指定自己的系统访问控制列表 (SACL) 的 Active Directory 对象的事件。默认情况下，在“默认域控制器组策略对象 (GPO)”中该值设置为无审核，并且在该值没有任何意义的工作站和服务器中，它保持未定义状态。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。用户成功访问指定了 SACL 的 Active Directory 对象时，成功审核会生成审核项。用户尝试访问指定了 SACL 的 Active Directory 对象失败时，失败审核会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“

9、定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。注意，通过使用某个 Active Directory 对象“属性”对话框中的“安全”选项卡，可以设置该对象的 SACL。该操作与审核对象访问相同，只不过它仅应用于 Active Directory 对象而不是文件系统和注册表对象。默认值：域控制器上的成功。 未定义成员计算机。配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。只有一个目录服务访问事件，该事件与对象访问安全事件消息 5

10、66 相同。目录服务访问事件 566 发生一般对象操作。 审核登录事件描述该安全设置确定是否审核每一个登录或注销计算机的用户实例。在域控制器上将生成域帐户活动的帐户登录事件，并在本地计算机上生成本地帐户活动的帐户登录事件。如果同时启用帐户登录和帐户审核策略类别，那么使用域帐户的登录将生成登录或注销工作站或服务器的事件，而且将在域控制器上生成一个帐户登录事件。此外，在用户登录而检索登录脚本和策略时，使用域帐户的成员服务器或工作站的交互式登录将在域控制器上生成登录事件。有关帐户登录事件的详细信息，请参阅审核帐户登录事件。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核

11、。登录成功时，成功审核会生成审核项。登录失败时，失败审核会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。默认值：成功。配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。登录事件 事件 ID 描述 528 用户已成功登录计算机。有关登录类型的相关信息，请参阅下面的登录类型表。 529 登录失败。尝试使用未知用户名或密码无效的已知用户名登录。 530 登

12、录失败。用户帐户尝试在允许的登录时间之外登录。 531 登录失败。尝试使用禁用的帐户登录。 532 登录失败。尝试使用过期的帐户登录。 533 登录失败。尝试使用被禁止登录该计算机的用户帐户登录。 534 登录失败。用户尝试使用被禁止的登录类型登录。 535 登录失败。指定的帐户密码已过期。 536 登录失败。未激活网络登录服务。 537 登录失败。由于其他原因致使尝试登录失败。注意：在某些情况下，可能不知道登录失败的原因。 538 完成某个用户的注销过程。 539 登录失败。尝试登录时已锁定账号。 540 用户已成功登录到网络。 541 主模式 Internet 密钥交换 (IKE) 验证已

13、在本地计算机和列出的对等客户端身份之间完成（建立安全联系），或者快速模式已建立一个数据信道。 542 已终止数据信道。 543 主模式已终止。注意：在安全关联过期（默认为 8 个小时）、策略更改或对等终止时可能出现此错误。544 主模式身份验证失败是由于对等客户端没有提供有效证书，或者是没有经过验证的签名。 545 主模式身份验证失败是由于 Kerberos 失败或密码无效。 546 由于对等客户端发送无效的建议，因此未能建立 IKE 安全关联。接收到的数据包含有无效数据。 547 IKE 握手期间出现故障。 548 登录失败。受信任域中的安全 ID (SID) 与客户端的帐户域 SID 不匹

14、配。 549 登录失败。在林中进行身份验证期间，所有与未受信任的名称空间相对应的 SID 都被筛选掉。 550 表明一种可能的拒绝服务攻击的通知消息。 551 用户启动注销过程。 552 当用户已经以不同用户登录时，可使用显式凭据成功登录到计算机。 682 用户已经重新连接到一个断开的终端服务器会话。 683 用户在没有注销的情况下与某个终端服务器会话断开连接。注意：当用户通过网络连接到终端服务器会话时，将产生该事件。该事件出现在终端服务器上。记录 528 事件时，同时在事件日志中列出登录类型。下表描述了每种登录类型。 登录类型 登录标题 描述 2 交互 用户已登录到该计算机。 3 网络 用户

15、或计算机从网络登录到该计算机。 4 批处理 批服务器使用批登录类型，对于这种登录类型，服务器代表用户执行登录过程，而无需用户直接参与。 5 服务 通过服务控制管理器启动服务。 7 解锁 该工作站已解锁。 8 网络明文 用户从网络登录到该计算机。用户密码以解哈希运算形式传递到身份验证包中。在通过网络发送包之前，内置的身份验证功能对所有哈希凭据进行打包。这些凭据不以纯文本（也叫明文）方式在网络中传输。 9 新凭据 呼叫方克隆当前令牌并指定出站连接的新凭据。新登录会话具有相同的本地标识，但对其他网络连接使用不同的凭据。 10 远程交互式登录 用户使用终端服务或远程桌面远程登录该计算机。 11 缓存交

16、互式登录 用户使用存储在本地计算机上的网络凭据登录该计算机。无法连接域控制器验证凭据。 审核对象访问描述该安全设置确定是否审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等，它们都有自己特定的系统访问控制列表 (SACL)。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核。当用户成功访问指定了合适 SACL 的对象时,成功审核将生成审核项.当用户访问指定有 SACL 的对象失败时，失败审核会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。注意，在某个文件系统对

17、象“属性”对话框中的“安全”选项卡上，可以设置该对象的 SACL。默认值：无审核。配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。对象访问事件 560 允许访问一个已存在的对象。 562 已关闭对象句柄。 563 尝试打开准备删除的对象。注意：当在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 标记时，文件系统将使用它。 564 已删除受保护的对象。 565 允许访问一个已存在的对象类型。 567 已使用与句

18、柄相关的权限。注意：已创建具有某些权限的句柄（读取、写入等等）。当使用句柄时，为使用的每个权限最多生成一个审核。 568 尝试创建正在被审核的文件的硬链接。 569 “授权管理器”中的资源管理器尝试创建一个客户端上下文。 570 客户端尝试访问一个对象。注意：将为在对象上尝试的每个操作生成一个事件。 571 客户端上下文已被“授权管理器”应用程序删除。 572 管理员管理器初始化该应用程序。 772 证书管理员已拒绝挂起的证书请求。 773 “证书服务”收到重新提交的证书请求。 774 “证书服务”已吊销证书。 775 “证书服务”收到发行证书吊销列表 (CRL) 的请求。 776 “证书服务

19、”已发行证书吊销列表 (CRL)。 777 已生成证书请求扩展。 778 已更改一个或多个证书请求属性。 779 “证书服务”已接收到关闭请求。 780 “证书服务”备份已经开始。 781 “证书服务”备份已完成。 782 “证书服务”还原已开始。 783 “证书服务”还原已完成。 784 “证书服务”已开始。 785 “证书服务”已停止。 786 “证书服务”安全权限已更改。 787 “证书服务”检索到存档密钥。 788 “证书服务”已将证书导入它的数据库。 789 “证书服务”审核筛选已更改。 790 “证书服务”已接收到证书请求。 791 “证书服务”已批准证书请求并发行证书。 792

20、“证书服务”已拒绝证书请求。 793 “证书服务”将证书请求状态设置为搁置。 794 “证书服务”的证书管理器设置已更改。 795 “证书服务”中的配置项已更改。 796 “证书服务”的某项属性已更改。 797 “证书服务”已存档密钥。 798 “证书服务”已导入并存档密钥。 799 “证书服务”已将 CA 证书发行到 Active Directory。 800 已经从证书数据库中删除一行或多行。 801 已启用角色分离。 审核策略更改描述该安全设置确定是否审核用户权限分配策略、审核策略或信任策略更改的每一个事件。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核

21、。对用户权限分配策略、审核策略或信任策略所作更改成功时，成功审核会生成审核项。对用户权限分配策略、审核策略或信任策略所作更改失败时，失败审核会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。默认值： 域控制器上的成功。 成员服务器上没有审核。 配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。策略更改事件 608 已分配用户权利。 609 已删除用户权

22、利。 610 已创建与其他域的信任关系。 611 已删除与其他域的信任关系。 612 已更改审核策略。 613 已启用 Internet 协议安全性 (IPSec) 策略代理。 614 已禁用 IPSec 策略代理。 615 已更改 IPSec 策略代理。 616 IPSec 策略代理遇到潜在的严重失败。 617 已更改 Kerberos 策略。 618 已更改“加密数据恢复”策略。 620 已修改与另一个域的信任关系。 621 已授予某个帐户系统访问权限。 622 已删除某个帐户的系统访问权限。 623 为用户设置每个用户审核策略。有关每用户选择性审核的信息，请参阅每用户选择性审核。 625

23、 已刷新每用户审核策略。 768 已检测到一个林中的名称空间元素与另一个林中的名称空间元素之间存在冲突。注意：当林中的名称空间元素与另一个林中的名称空间元素重叠时，它可能导致无法正确解析属于名称空间元素之一的名称。这种重叠也称为冲突。对每一个条目类型来讲，不是所有的参数都有效。例如，对于类型为TopLevelName这样的条目，DNS 名称、NetBIOS 名称和 SID 这样的字段都无效。769 已添加受信任的林信息。注意：当更新林信任信息及添加一个或多个条目时，将产生此事件消息。每次添加、删除或修改条目时，都将产生事件消息。如果在林信任信息的一次升级中添加、删除或修改多个条目，所产生的所有

24、事件消息都共享一个称为操作 ID 的唯一标识符。可利用该标识符确定产生的多个事件消息是否为单一操作的结果。对每一个条目类型来讲，不是所有的参数都有效。例如，类似 DNS 名称、NetBIOS 名称和 SID 这样的参数对于“TopLevelName”类型的条目无效。 770 已删除受信任的林信息。注意：请参阅事件 769 的注释。 771 已修改受信任的林信息。注意：请参阅事件 769 的注释。 805 该事件日志服务读取会话的安全日志配置。 审核特权使用描述该安全设置确定是否审核用户实施其用户权利的每一个实例。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对这种事件类型进行审核

25、。用户权利实施成功时，成功审核会生成审核项。用户权利实施失败时，失败审核会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。默认值：无审核。即使已为“审核特权使用”指定了成功审核或失败审核，也不会为下列用户权利的使用产生审核。启用这些用户权利的审核将会在安全日志中产生许多事件，这些事件可能降低计算机的性能。要审核下列用户权利，请启用 FullPrivilegeAuditing 注册表项。跳过遍历检查 调试程序 创建标记对象 替换进程级别标记 生成安全审核 备份文件和目录 还原文件和目录 警告编辑注册表不当可

26、能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。 配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，请参阅定义或修改事件类别的审核策略设置。特权使用事件 576 指定的特权被添加到用户的访问令牌中。注意：当用户登录时，将产生该事件。 577 用户尝试执行一个享受特权的系统服务操作。 578 特权被用在已经打开的受保护对象的句柄上。 审核过程跟踪描述该安全设置确定是否审核事件（例如程序激活、进程退出、句柄复制和间接对象访问等）的详细跟踪信息。如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核。所跟踪的过程成功时，成功审核会生成审核项。所跟踪的过程失败时，失败审核会生成审核项。要将该值设置为“无审核”，可在该策略设置的“属性”对话框中，选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。默认值：无审核。配置此安全设置可通过打开适当的策略并按如下方式扩展控制台树来配置此安全设置：计算机配置Windows 设置安全设置本地策略审核策略有关如何配置审核策略设置的特定说明，