简介
本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别事件的更具说明性数据。
适用于: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows 7 EnterpriseWindows 7 ProfessionalWindows 7 UltimateWindows Server 2008 R2 Service Pack 1
详细信息
本节列出按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。
类别︰ 帐户登录
子类别︰ 凭据验证
标识 | 消息 |
---|---|
4774 | 帐户已登录映射。 |
4775 | 无法映射的登录帐户。 |
4776 | 计算机试图验证的帐户凭据。 |
4777 | 域控制器无法验证帐户的凭据。 |
子类别︰ Kerberos 身份验证服务
标识 | 消息 |
---|---|
4768 | Kerberos 身份验证票证 (TGT) 请求。 |
4771 | Kerberos 预身份验证失败。 |
4772 | Kerberos 身份验证票证请求失败。 |
子类别︰ Kerberos 服务票据操作
标识 | 消息 |
---|---|
4769 | Kerberos 服务票证请求。 |
4770 | Kerberos 服务票证续订。 |
4773 | Kerberos 服务票证请求失败。 |
类别︰ 帐户管理
子类别︰ 应用程序组管理
标识 | 消息 |
---|---|
4783 | 基本应用程序组已创建。 |
4784 | 基本应用程序组已更改。 |
4785 | 已将成员添加到基本应用程序组。 |
4786 | 已从基本应用程序组中删除成员。 |
4787 | 非成员被添加到基本应用程序组。 |
4788 | 非成员已从基本应用程序组。 |
4789 | 基本应用程序组已被删除。 |
4790 | 创建 LDAP 查询组。 |
4791 | 基本应用程序组已更改。 |
4792 | LDAP 查询组已被删除。 |
子类别︰ 计算机帐户管理
标识 | 消息 |
---|---|
4741 | 计算机帐户已创建。 |
4742 | 计算机帐户已更改。 |
4743 | 计算机帐户已被删除。 |
子类别︰ 通讯组管理
标识 | 消息 |
---|---|
4744 | 已创建禁用安全的本地组。 |
4745 | 禁用安全的本地组已更改。 |
4746 | 成员已添加至禁用安全的本地组。 |
4747 | 成员已从禁用安全的本地组中删除。 |
4748 | 已删除禁用安全的本地组。 |
4749 | 已创建禁用安全的全局组。 |
4750 | 禁用安全的全局组已更改。 |
4751 | 成员已添加至禁用安全的全局组。 |
4752 | 成员已从禁用安全的全局组删除。 |
4753 | 已删除禁用安全的全局组。 |
4759 | 已创建禁用安全的通用组。 |
4760 | 禁用安全的通用组已更改。 |
4761 | 成员已添加至禁用安全的通用组。 |
4762 | 成员已从禁用安全的通用组删除。 |
子类别︰ 其他帐户管理事件
标识 | 消息 |
---|---|
4782 | 访问帐户的密码哈希。 |
4793 | 密码策略检查 API 被调用。 |
子类别︰ 安全组管理
标识 | 消息 |
---|---|
4727 | 启用安全的全局组已创建。 |
4728 | 成员已添加至已启用安全的全局组。 |
4729 | 已从启用安全的全局组中删除成员。 |
4730 | 启用安全的全局组已删除。 |
4731 | 启用安全的本地组已创建。 |
4732 | 已将成员添加到启用安全的本地组。 |
4733 | 已从启用安全的本地组中删除成员。 |
4734 | 启用安全的本地组已删除。 |
4735 | 启用安全的本地组已更改。 |
4737 | 启用安全的全局组已更改。 |
4754 | 启用安全的通用组已创建。 |
4755 | 启用安全的通用组已更改。 |
4756 | 成员已添加至已启用安全的通用组。 |
4757 | 成员已从启用安全的通用组删除。 |
4758 | 启用安全的通用组已删除。 |
4764 | 组的类型已更改。 |
子类别︰ 用户帐户管理
标识 | 消息 |
---|---|
4720 | 用户帐户已创建。 |
4722 | 用户帐户被启用。 |
4723 | 尝试更改帐户密码。 |
4724 | 尝试重置帐户密码。 |
4725 | 已禁用的用户帐户。 |
4726 | 用户帐户已被删除。 |
4738 | 用户帐户已更改。 |
4740 | 用户帐户被锁定。 |
4765 | SID 历史记录已添加到帐户。 |
4766 | 要添加到帐户的 SID 历史记录的尝试失败。 |
4767 | 用户帐户的锁定。 |
4780 | 在管理员组成员的帐户上设置 ACL。 |
4781 | 帐户名称已更改︰ |
4794 | 尝试设置目录服务还原模式。 |
5376 | 凭据管理器凭据进行备份。 |
5377 | 凭据管理器凭据已从备份中还原。 |
类别︰ 详细的跟踪
子类别︰ DPAPI 活动
标识 | 消息 |
---|---|
4692 | 尝试进行备份的数据保护主密钥。 |
4693 | 尝试恢复数据保护主密钥。 |
4694 | 试图进行可审核的受保护数据的保护。 |
4695 | Unprotection 可审核的受保护数据的尝试。 |
子类别︰ 进程创建
标识 | 消息 |
---|---|
4688 | 已创建一个新的进程。 |
4696 | 一个主令牌被分配来处理。 |
子类别︰ 终止进程
标识 | 消息 |
---|---|
4689 | 进程已退出。 |
子类别︰ RPC 事件
标识 | 消息 |
---|---|
5712 | 尝试执行远程过程调用 (RPC)。 |
类别︰ DS 访问
子类别︰ 详细的目录服务复制
标识 | 消息 |
---|---|
4928 | 建立一个 Active Directory 复制副本源命名上下文。 |
简介
本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别事件的更具说明性数据。
适用于: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows 7 EnterpriseWindows 7 ProfessionalWindows 7 UltimateWindows Server 2008 R2 Service Pack 1
详细信息
本节列出按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。
类别︰ 帐户登录
子类别︰ 凭据验证
标识 | 消息 |
---|---|
4774 | 帐户已登录映射。 |
4775 | 无法映射的登录帐户。 |
4776 | 计算机试图验证的帐户凭据。 |
4777 | 域控制器无法验证帐户的凭据。 |
子类别︰ Kerberos 身份验证服务
标识 | 消息 |
---|---|
4768 | Kerberos 身份验证票证 (TGT) 请求。 |
4771 | Kerberos 预身份验证失败。 |
4772 | Kerberos 身份验证票证请求失败。 |
子类别︰ Kerberos 服务票据操作
标识 | 消息 |
---|---|
4769 | Kerberos 服务票证请求。 |
4770 | Kerberos 服务票证续订。 |
4773 | Kerberos 服务票证请求失败。 |
类别︰ 帐户管理
子类别︰ 应用程序组管理
标识 | 消息 |
---|---|
4783 | 基本应用程序组已创建。 |
4784 | 基本应用程序组已更改。 |
4785 | 已将成员添加到基本应用程序组。 |
4786 | 已从基本应用程序组中删除成员。 |
4787 | 非成员被添加到基本应用程序组。 |
4788 | 非成员已从基本应用程序组。 |
4789 | 基本应用程序组已被删除。 |
4790 | 创建 LDAP 查询组。 |
4791 | 基本应用程序组已更改。 |
4792 | LDAP 查询组已被删除。 |
子类别︰ 计算机帐户管理
标识 | 消息 |
---|---|
4741 | 计算机帐户已创建。 |
4742 | 计算机帐户已更改。 |
4743 | 计算机帐户已被删除。 |
子类别︰ 通讯组管理
标识 | 消息 |
---|---|
4744 | 已创建禁用安全的本地组。 |
4745 | 禁用安全的本地组已更改。 |
4746 | 成员已添加至禁用安全的本地组。 |
4747 | 成员已从禁用安全的本地组中删除。 |
4748 | 已删除禁用安全的本地组。 |
4749 | 已创建禁用安全的全局组。 |
4750 | 禁用安全的全局组已更改。 |
4751 | 成员已添加至禁用安全的全局组。 |
4752 | 成员已从禁用安全的全局组删除。 |
4753 | 已删除禁用安全的全局组。 |
4759 | 已创建禁用安全的通用组。 |
4760 | 禁用安全的通用组已更改。 |
4761 | 成员已添加至禁用安全的通用组。 |
4762 | 成员已从禁用安全的通用组删除。 |
子类别︰ 其他帐户管理事件
标识 | 消息 |
---|---|
4782 | 访问帐户的密码哈希。 |
4793 | 密码策略检查 API 被调用。 |
子类别︰ 安全组管理
标识 | 消息 |
---|---|
4727 | 启用安全的全局组已创建。 |
4728 | 成员已添加至已启用安全的全局组。 |
4729 | 已从启用安全的全局组中删除成员。 |
4730 | 启用安全的全局组已删除。 |
4731 | 启用安全的本地组已创建。 |
4732 | 已将成员添加到启用安全的本地组。 |
4733 | 已从启用安全的本地组中删除成员。 |
4734 | 启用安全的本地组已删除。 |
4735 | 启用安全的本地组已更改。 |
4737 | 启用安全的全局组已更改。 |
4754 | 启用安全的通用组已创建。 |
4755 | 启用安全的通用组已更改。 |
4756 | 成员已添加至已启用安全的通用组。 |
4757 | 成员已从启用安全的通用组删除。 |
4758 | 启用安全的通用组已删除。 |
4764 | 组的类型已更改。 |
子类别︰ 用户帐户管理
标识 | 消息 |
---|---|
4720 | 用户帐户已创建。 |
4722 | 用户帐户被启用。 |
4723 | 尝试更改帐户密码。 |
4724 | 尝试重置帐户密码。 |
4725 | 已禁用的用户帐户。 |
4726 | 用户帐户已被删除。 |
4738 | 用户帐户已更改。 |
4740 | 用户帐户被锁定。 |
4765 | SID 历史记录已添加到帐户。 |
4766 | 要添加到帐户的 SID 历史记录的尝试失败。 |
4767 | 用户帐户的锁定。 |
4780 | 在管理员组成员的帐户上设置 ACL。 |
4781 | 帐户名称已更改︰ |
4794 | 尝试设置目录服务还原模式。 |
5376 | 凭据管理器凭据进行备份。 |
5377 | 凭据管理器凭据已从备份中还原。 |
类别︰ 详细的跟踪
子类别︰ DPAPI 活动
标识 | 消息 |
---|---|
4692 | 尝试进行备份的数据保护主密钥。 |
4693 | 尝试恢复数据保护主密钥。 |
4694 | 试图进行可审核的受保护数据的保护。 |
4695 | Unprotection 可审核的受保护数据的尝试。 |
子类别︰ 进程创建
标识 | 消息 |
---|---|
4688 | 已创建一个新的进程。 |
4696 | 一个主令牌被分配来处理。 |
子类别︰ 终止进程
标识 | 消息 |
---|---|
4689 | 进程已退出。 |
子类别︰ RPC 事件
标识 | 消息 |
---|---|
5712 | 尝试执行远程过程调用 (RPC)。 |
类别︰ DS 访问
子类别︰ 详细的目录服务复制
标识 | 消息 |
---|---|
4928 | 建立一个 Active Directory 复制副本源命名上下文。 |