简介
本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别事件的更具说明性数据。
适用于: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows 7 EnterpriseWindows 7 ProfessionalWindows 7 UltimateWindows Server 2008 R2 Service Pack 1
详细信息
本节列出按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。
类别︰ 帐户登录
子类别︰ 凭据验证
| 标识 | 消息 |
|---|---|
| 4774 | 帐户已登录映射。 |
| 4775 | 无法映射的登录帐户。 |
| 4776 | 计算机试图验证的帐户凭据。 |
| 4777 | 域控制器无法验证帐户的凭据。 |
子类别︰ Kerberos 身份验证服务
| 标识 | 消息 |
|---|---|
| 4768 | Kerberos 身份验证票证 (TGT) 请求。 |
| 4771 | Kerberos 预身份验证失败。 |
| 4772 | Kerberos 身份验证票证请求失败。 |
子类别︰ Kerberos 服务票据操作
| 标识 | 消息 |
|---|---|
| 4769 | Kerberos 服务票证请求。 |
| 4770 | Kerberos 服务票证续订。 |
| 4773 | Kerberos 服务票证请求失败。 |
类别︰ 帐户管理
子类别︰ 应用程序组管理
| 标识 | 消息 |
|---|---|
| 4783 | 基本应用程序组已创建。 |
| 4784 | 基本应用程序组已更改。 |
| 4785 | 已将成员添加到基本应用程序组。 |
| 4786 | 已从基本应用程序组中删除成员。 |
| 4787 | 非成员被添加到基本应用程序组。 |
| 4788 | 非成员已从基本应用程序组。 |
| 4789 | 基本应用程序组已被删除。 |
| 4790 | 创建 LDAP 查询组。 |
| 4791 | 基本应用程序组已更改。 |
| 4792 | LDAP 查询组已被删除。 |
子类别︰ 计算机帐户管理
| 标识 | 消息 |
|---|---|
| 4741 | 计算机帐户已创建。 |
| 4742 | 计算机帐户已更改。 |
| 4743 | 计算机帐户已被删除。 |
子类别︰ 通讯组管理
| 标识 | 消息 |
|---|---|
| 4744 | 已创建禁用安全的本地组。 |
| 4745 | 禁用安全的本地组已更改。 |
| 4746 | 成员已添加至禁用安全的本地组。 |
| 4747 | 成员已从禁用安全的本地组中删除。 |
| 4748 | 已删除禁用安全的本地组。 |
| 4749 | 已创建禁用安全的全局组。 |
| 4750 | 禁用安全的全局组已更改。 |
| 4751 | 成员已添加至禁用安全的全局组。 |
| 4752 | 成员已从禁用安全的全局组删除。 |
| 4753 | 已删除禁用安全的全局组。 |
| 4759 | 已创建禁用安全的通用组。 |
| 4760 | 禁用安全的通用组已更改。 |
| 4761 | 成员已添加至禁用安全的通用组。 |
| 4762 | 成员已从禁用安全的通用组删除。 |
子类别︰ 其他帐户管理事件
| 标识 | 消息 |
|---|---|
| 4782 | 访问帐户的密码哈希。 |
| 4793 | 密码策略检查 API 被调用。 |
子类别︰ 安全组管理
| 标识 | 消息 |
|---|---|
| 4727 | 启用安全的全局组已创建。 |
| 4728 | 成员已添加至已启用安全的全局组。 |
| 4729 | 已从启用安全的全局组中删除成员。 |
| 4730 | 启用安全的全局组已删除。 |
| 4731 | 启用安全的本地组已创建。 |
| 4732 | 已将成员添加到启用安全的本地组。 |
| 4733 | 已从启用安全的本地组中删除成员。 |
| 4734 | 启用安全的本地组已删除。 |
| 4735 | 启用安全的本地组已更改。 |
| 4737 | 启用安全的全局组已更改。 |
| 4754 | 启用安全的通用组已创建。 |
| 4755 | 启用安全的通用组已更改。 |
| 4756 | 成员已添加至已启用安全的通用组。 |
| 4757 | 成员已从启用安全的通用组删除。 |
| 4758 | 启用安全的通用组已删除。 |
| 4764 | 组的类型已更改。 |
子类别︰ 用户帐户管理
| 标识 | 消息 |
|---|---|
| 4720 | 用户帐户已创建。 |
| 4722 | 用户帐户被启用。 |
| 4723 | 尝试更改帐户密码。 |
| 4724 | 尝试重置帐户密码。 |
| 4725 | 已禁用的用户帐户。 |
| 4726 | 用户帐户已被删除。 |
| 4738 | 用户帐户已更改。 |
| 4740 | 用户帐户被锁定。 |
| 4765 | SID 历史记录已添加到帐户。 |
| 4766 | 要添加到帐户的 SID 历史记录的尝试失败。 |
| 4767 | 用户帐户的锁定。 |
| 4780 | 在管理员组成员的帐户上设置 ACL。 |
| 4781 | 帐户名称已更改︰ |
| 4794 | 尝试设置目录服务还原模式。 |
| 5376 | 凭据管理器凭据进行备份。 |
| 5377 | 凭据管理器凭据已从备份中还原。 |
类别︰ 详细的跟踪
子类别︰ DPAPI 活动
| 标识 | 消息 |
|---|---|
| 4692 | 尝试进行备份的数据保护主密钥。 |
| 4693 | 尝试恢复数据保护主密钥。 |
| 4694 | 试图进行可审核的受保护数据的保护。 |
| 4695 | Unprotection 可审核的受保护数据的尝试。 |
子类别︰ 进程创建
| 标识 | 消息 |
|---|---|
| 4688 | 已创建一个新的进程。 |
| 4696 | 一个主令牌被分配来处理。 |
子类别︰ 终止进程
| 标识 | 消息 |
|---|---|
| 4689 | 进程已退出。 |
子类别︰ RPC 事件
| 标识 | 消息 |
|---|---|
| 5712 | 尝试执行远程过程调用 (RPC)。 |
类别︰ DS 访问
子类别︰ 详细的目录服务复制
| 标识 | 消息 |
|---|---|
| 4928 | 建立一个 Active Directory 复制副本源命名上下文。 |
简介
本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别事件的更具说明性数据。
适用于: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 StandardWindows 7 EnterpriseWindows 7 ProfessionalWindows 7 UltimateWindows Server 2008 R2 Service Pack 1
详细信息
本节列出按类别和子类别的所有 Windows 7 和 Windows Server 2008 R2 安全审计相关事件。
类别︰ 帐户登录
子类别︰ 凭据验证
| 标识 | 消息 |
|---|---|
| 4774 | 帐户已登录映射。 |
| 4775 | 无法映射的登录帐户。 |
| 4776 | 计算机试图验证的帐户凭据。 |
| 4777 | 域控制器无法验证帐户的凭据。 |
子类别︰ Kerberos 身份验证服务
| 标识 | 消息 |
|---|---|
| 4768 | Kerberos 身份验证票证 (TGT) 请求。 |
| 4771 | Kerberos 预身份验证失败。 |
| 4772 | Kerberos 身份验证票证请求失败。 |
子类别︰ Kerberos 服务票据操作
| 标识 | 消息 |
|---|---|
| 4769 | Kerberos 服务票证请求。 |
| 4770 | Kerberos 服务票证续订。 |
| 4773 | Kerberos 服务票证请求失败。 |
类别︰ 帐户管理
子类别︰ 应用程序组管理
| 标识 | 消息 |
|---|---|
| 4783 | 基本应用程序组已创建。 |
| 4784 | 基本应用程序组已更改。 |
| 4785 | 已将成员添加到基本应用程序组。 |
| 4786 | 已从基本应用程序组中删除成员。 |
| 4787 | 非成员被添加到基本应用程序组。 |
| 4788 | 非成员已从基本应用程序组。 |
| 4789 | 基本应用程序组已被删除。 |
| 4790 | 创建 LDAP 查询组。 |
| 4791 | 基本应用程序组已更改。 |
| 4792 | LDAP 查询组已被删除。 |
子类别︰ 计算机帐户管理
| 标识 | 消息 |
|---|---|
| 4741 | 计算机帐户已创建。 |
| 4742 | 计算机帐户已更改。 |
| 4743 | 计算机帐户已被删除。 |
子类别︰ 通讯组管理
| 标识 | 消息 |
|---|---|
| 4744 | 已创建禁用安全的本地组。 |
| 4745 | 禁用安全的本地组已更改。 |
| 4746 | 成员已添加至禁用安全的本地组。 |
| 4747 | 成员已从禁用安全的本地组中删除。 |
| 4748 | 已删除禁用安全的本地组。 |
| 4749 | 已创建禁用安全的全局组。 |
| 4750 | 禁用安全的全局组已更改。 |
| 4751 | 成员已添加至禁用安全的全局组。 |
| 4752 | 成员已从禁用安全的全局组删除。 |
| 4753 | 已删除禁用安全的全局组。 |
| 4759 | 已创建禁用安全的通用组。 |
| 4760 | 禁用安全的通用组已更改。 |
| 4761 | 成员已添加至禁用安全的通用组。 |
| 4762 | 成员已从禁用安全的通用组删除。 |
子类别︰ 其他帐户管理事件
| 标识 | 消息 |
|---|---|
| 4782 | 访问帐户的密码哈希。 |
| 4793 | 密码策略检查 API 被调用。 |
子类别︰ 安全组管理
| 标识 | 消息 |
|---|---|
| 4727 | 启用安全的全局组已创建。 |
| 4728 | 成员已添加至已启用安全的全局组。 |
| 4729 | 已从启用安全的全局组中删除成员。 |
| 4730 | 启用安全的全局组已删除。 |
| 4731 | 启用安全的本地组已创建。 |
| 4732 | 已将成员添加到启用安全的本地组。 |
| 4733 | 已从启用安全的本地组中删除成员。 |
| 4734 | 启用安全的本地组已删除。 |
| 4735 | 启用安全的本地组已更改。 |
| 4737 | 启用安全的全局组已更改。 |
| 4754 | 启用安全的通用组已创建。 |
| 4755 | 启用安全的通用组已更改。 |
| 4756 | 成员已添加至已启用安全的通用组。 |
| 4757 | 成员已从启用安全的通用组删除。 |
| 4758 | 启用安全的通用组已删除。 |
| 4764 | 组的类型已更改。 |
子类别︰ 用户帐户管理
| 标识 | 消息 |
|---|---|
| 4720 | 用户帐户已创建。 |
| 4722 | 用户帐户被启用。 |
| 4723 | 尝试更改帐户密码。 |
| 4724 | 尝试重置帐户密码。 |
| 4725 | 已禁用的用户帐户。 |
| 4726 | 用户帐户已被删除。 |
| 4738 | 用户帐户已更改。 |
| 4740 | 用户帐户被锁定。 |
| 4765 | SID 历史记录已添加到帐户。 |
| 4766 | 要添加到帐户的 SID 历史记录的尝试失败。 |
| 4767 | 用户帐户的锁定。 |
| 4780 | 在管理员组成员的帐户上设置 ACL。 |
| 4781 | 帐户名称已更改︰ |
| 4794 | 尝试设置目录服务还原模式。 |
| 5376 | 凭据管理器凭据进行备份。 |
| 5377 | 凭据管理器凭据已从备份中还原。 |
类别︰ 详细的跟踪
子类别︰ DPAPI 活动
| 标识 | 消息 |
|---|---|
| 4692 | 尝试进行备份的数据保护主密钥。 |
| 4693 | 尝试恢复数据保护主密钥。 |
| 4694 | 试图进行可审核的受保护数据的保护。 |
| 4695 | Unprotection 可审核的受保护数据的尝试。 |
子类别︰ 进程创建
| 标识 | 消息 |
|---|---|
| 4688 | 已创建一个新的进程。 |
| 4696 | 一个主令牌被分配来处理。 |
子类别︰ 终止进程
| 标识 | 消息 |
|---|---|
| 4689 | 进程已退出。 |
子类别︰ RPC 事件
| 标识 | 消息 |
|---|---|
| 5712 | 尝试执行远程过程调用 (RPC)。 |
类别︰ DS 访问
子类别︰ 详细的目录服务复制
| 标识 | 消息 |
|---|---|
| 4928 | 建立一个 Active Directory 复制副本源命名上下文。 |