| 事件ID | 对应事件 |
|---|---|
| 35 | 更改时间源 |
| 36 | 时间同步失败 |
| 37 | 时间同步正常 |
| 41 | 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 |
| 134 | 当出现时间同步源DNS解析失败时会出现此事件ID。 |
| 512 | Windows启动事件 |
| 513 | Windows关机事件 |
| 515 | 受信任的登录过程已经在本地安全机构注册 |
| 516 | 审核失败事件 |
| 517 | 清除安全事件日志事件 |
| 518 | 安全帐户管理器已加载通知数据包 |
| 519 | 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 |
| 520 | 更改系统时间事件 |
| 521 | 无法记录事件 |
| 528 | 登录成功事件 |
| 529 | 登录失败事件-用户名未知或密码错误 |
| 530 | 登录失败事件-时间限制 |
| 531 | 登录失败事件-帐户当前已禁用 |
| 532 | 登录失败事件-指定用户帐户已过期 |
| 533 | 登录失败事件-不允许用户由此计算机登录 |
| 534 | 登录失败事件-不允许该登录类型 |
| 535 | 登录失败事件-指定帐户的密码已过期 |
| 536 | 登录失败事件-NetLogon组件未激活 |
| 537 | 登录失败-由于其他原因登录尝试失败 |
| 538 | 用户注销事件 |
| 539 | 登录失败-试图登录时该帐户已锁定 |
| 540 | 登录成功事件 |
| 553 | 检测到重放攻击事件 |
| 560 | 准许对现有对象的访问 |
| 560 | 拒绝对现有对象的访问事件 |
| 562 | 指向对象的句柄已关闭 |
| 563 | 试图打开一个对象并打算将其删除 |
| 564 | 受保护对象已删除 |
| 565 | 访问权限已授予现有的对象类型 |
| 566 | 发生了一般对象操作 |
| 567 | 与使用的句柄关联的权限 |
| 568 | 尝试创建已审核文件的硬链接事件 |
| 574 | 对象权限被修改 |
| 576 | 对新登录指派特殊特权 |
| 592 | 创建新进程事件 |
| 592 | 创建新流程事件 |
| 600 | 对进程指派了主令牌事件 |
| 601 | 用户尝试安装服务事件 |
| 602 | 创建计划的作业事件 |
| 608 | 指派了用户帐户特权 |
| 609 | 移除了用户帐户特权 |
| 610 | 创建删除或修改了与另一域的信任关系 |
| 611 | 创建删除或修改了与另一域的信任关系 |
| 612 | 更改审核策略事件 |
| 613 | 更改IPsec策略事件 |
| 614 | 更改IPsec策略事件 |
| 615 | 更改IPsec策略事件 |
| 620 | 创建删除或修改了与另一域的信任关系 |
| 621 | 对帐户授予了系统访问权 |
| 622 | 从系统移除了系统访问权 |
| 623 | 更改审核策略事件 |
| 624 | 创建用户帐户事件 |
| 625 | 按用户刷新审核策略 |
| 626 | 启用了用户帐户 |
| 627 | 更改密码尝试事件 |
| 628 | 用户帐户密码设置或重置事件 |
| 630 | 删除用户帐户事件 |
| 631 | 启用了安全性的全局组更改事件 |
| 632 | 启用了安全性的全局组更改事件 |
| 633 | 启用了安全性的全局组更改事件 |
| 634 | 启用了安全性的全局组更改事件 |
| 635 | 启用了安全性的全局组更改事件 |
| 636 | 启用了安全性的全局组更改事件 |
| 637 | 启用了安全性的全局组更改事件 |
| 638 | 启用了安全性的全局组更改事件 |
| 639 | 启用了安全性的组更改事件 |
| 641 | 启用了安全性的组更改事件 |
| 642 | 更改用户帐户事件 |
| 643 | 更改域安全策略事件 |
| 644 | 帐户锁定尝试事件 |
| 644 | 用户帐户自动锁定事件 |
| 645 | 帐号及安全组策略更改事件 |
| 659 | 启用了安全性的通用组更改事件 |
| 660 | 启用了安全性的通用组更改事件 |
| 661 | 启用了安全性的通用组更改事件 |
| 662 | 启用了安全性的通用组更改事件 |
| 666 | 帐号及安全组策略更改事件 |
| 668 | 启用了安全性的组更改事件 |
| 672 | 已成功颁发和验证身份验证服务(AS)票证 |
| 675 | 预验证失败事件 |
| 680 | 帐户登录事件 |
| 681 | 登录失败-尝试进行域帐户登录事件 |
| 682 | 用户已重新连接至已断开的终端服务器会话 |
| 683 | 用户未注销就断开终端服务器会话 |
| 685 | 更改用户帐户名称事件 |
| 698 | 更改目录服务还原模式密码事件 |
| 1074 | 查看计算机的开机、关机、重启的时间以及原因和注释。 |
| 1100 | 事件记录服务已关闭 |
| 1101 | 审计事件已被运输中断。 |
| 1102 | 审核日志已清除 |
| 1102 | 日志清除 |
| 1104 | 安全日志现已满 |
| 1105 | 事件日志自动备份 |
| 1108 | 事件日志记录服务遇到错误 |
| 4199 | 当发生TCP/IP地址冲突的时候出现此事件ID,用来排查用户IP网络的问题。 |
| 4608 | Windows正在启动 |
| 4608 | Windows启动事件 |
| 4609 | Windows正在关闭 |
| 4609 | Windows关机事件 |
| 4610 | 本 |
| 事件ID | 对应事件 |
|---|---|
| 35 | 更改时间源 |
| 36 | 时间同步失败 |
| 37 | 时间同步正常 |
| 41 | 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 |
| 134 | 当出现时间同步源DNS解析失败时会出现此事件ID。 |
| 512 | Windows启动事件 |
| 513 | Windows关机事件 |
| 515 | 受信任的登录过程已经在本地安全机构注册 |
| 516 | 审核失败事件 |
| 517 | 清除安全事件日志事件 |
| 518 | 安全帐户管理器已加载通知数据包 |
| 519 | 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 |
| 520 | 更改系统时间事件 |
| 521 | 无法记录事件 |
| 528 | 登录成功事件 |
| 529 | 登录失败事件-用户名未知或密码错误 |
| 530 | 登录失败事件-时间限制 |
| 531 | 登录失败事件-帐户当前已禁用 |
| 532 | 登录失败事件-指定用户帐户已过期 |
| 533 | 登录失败事件-不允许用户由此计算机登录 |
| 534 | 登录失败事件-不允许该登录类型 |
| 535 | 登录失败事件-指定帐户的密码已过期 |
| 536 | 登录失败事件-NetLogon组件未激活 |
| 537 | 登录失败-由于其他原因登录尝试失败 |
| 538 | 用户注销事件 |
| 539 | 登录失败-试图登录时该帐户已锁定 |
| 540 | 登录成功事件 |
| 553 | 检测到重放攻击事件 |
| 560 | 准许对现有对象的访问 |
| 560 | 拒绝对现有对象的访问事件 |
| 562 | 指向对象的句柄已关闭 |
| 563 | 试图打开一个对象并打算将其删除 |
| 564 | 受保护对象已删除 |
| 565 | 访问权限已授予现有的对象类型 |
| 566 | 发生了一般对象操作 |
| 567 | 与使用的句柄关联的权限 |
| 568 | 尝试创建已审核文件的硬链接事件 |
| 574 | 对象权限被修改 |
| 576 | 对新登录指派特殊特权 |
| 592 | 创建新进程事件 |
| 592 | 创建新流程事件 |
| 600 | 对进程指派了主令牌事件 |
| 601 | 用户尝试安装服务事件 |
| 602 | 创建计划的作业事件 |
| 608 | 指派了用户帐户特权 |
| 609 | 移除了用户帐户特权 |
| 610 | 创建删除或修改了与另一域的信任关系 |
| 611 | 创建删除或修改了与另一域的信任关系 |
| 612 | 更改审核策略事件 |
| 613 | 更改IPsec策略事件 |
| 614 | 更改IPsec策略事件 |
| 615 | 更改IPsec策略事件 |
| 620 | 创建删除或修改了与另一域的信任关系 |
| 621 | 对帐户授予了系统访问权 |
| 622 | 从系统移除了系统访问权 |
| 623 | 更改审核策略事件 |
| 624 | 创建用户帐户事件 |
| 625 | 按用户刷新审核策略 |
| 626 | 启用了用户帐户 |
| 627 | 更改密码尝试事件 |
| 628 | 用户帐户密码设置或重置事件 |
| 630 | 删除用户帐户事件 |
| 631 | 启用了安全性的全局组更改事件 |
| 632 | 启用了安全性的全局组更改事件 |
| 633 | 启用了安全性的全局组更改事件 |
| 634 | 启用了安全性的全局组更改事件 |
| 635 | 启用了安全性的全局组更改事件 |
| 636 | 启用了安全性的全局组更改事件 |
| 637 | 启用了安全性的全局组更改事件 |
| 638 | 启用了安全性的全局组更改事件 |
| 639 | 启用了安全性的组更改事件 |
| 641 | 启用了安全性的组更改事件 |
| 642 | 更改用户帐户事件 |
| 643 | 更改域安全策略事件 |
| 644 | 帐户锁定尝试事件 |
| 644 | 用户帐户自动锁定事件 |
| 645 | 帐号及安全组策略更改事件 |
| 659 | 启用了安全性的通用组更改事件 |
| 660 | 启用了安全性的通用组更改事件 |
| 661 | 启用了安全性的通用组更改事件 |
| 662 | 启用了安全性的通用组更改事件 |
| 666 | 帐号及安全组策略更改事件 |
| 668 | 启用了安全性的组更改事件 |
| 672 | 已成功颁发和验证身份验证服务(AS)票证 |
| 675 | 预验证失败事件 |
| 680 | 帐户登录事件 |
| 681 | 登录失败-尝试进行域帐户登录事件 |
| 682 | 用户已重新连接至已断开的终端服务器会话 |
| 683 | 用户未注销就断开终端服务器会话 |
| 685 | 更改用户帐户名称事件 |
| 698 | 更改目录服务还原模式密码事件 |
| 1074 | 查看计算机的开机、关机、重启的时间以及原因和注释。 |
| 1100 | 事件记录服务已关闭 |
| 1101 | 审计事件已被运输中断。 |
| 1102 | 审核日志已清除 |
| 1102 | 日志清除 |
| 1104 | 安全日志现已满 |
| 1105 | 事件日志自动备份 |
| 1108 | 事件日志记录服务遇到错误 |
| 4199 | 当发生TCP/IP地址冲突的时候出现此事件ID,用来排查用户IP网络的问题。 |
| 4608 | Windows正在启动 |
| 4608 | Windows启动事件 |
| 4609 | Windows正在关闭 |
| 4609 | Windows关机事件 |
| 4610 | 本 |