Chinaunix首页 | 论坛 | 博客
  • 博客访问: 376722
  • 博文数量: 1051
  • 博客积分: 53280
  • 博客等级: 大将
  • 技术积分: 6670
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-09 13:21
文章分类

全部博文(1051)

文章存档

2011年(1)

2008年(1050)

我的朋友

分类:

2008-09-09 15:44:53


  根据下面的ID,可以帮助我们快速识别由 Microsoft? Server 2003 操作系统生成的事件,究竟意味着什么事件出现了。
  
  一、帐户登录事件
  
  下面显示了由“审核帐户登录事件”模板设置所生成的安全事件。
  672:已成功颁发和验证身份验证服务 (AS) 票证。
  673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。
  674:安全主体已更新 AS 票证或 TGS 票证。
  675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。
  676:身份验证票证请求失败。在 XP Professional 或 Windows Server 家族的成员中不生成此事件。
  677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
  678:帐户已成功映射到域帐户。
  681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。
  682:用户已重新连接至已断开的终端会话。
  683:用户未注销就断开终端会话。
  
  二、帐户管理事件
  
  下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。
  624:用户帐户已创建。
  627:用户密码已更改。
  628:用户密码已设置。
  630:用户帐户已删除。
  631:全局组已创建。
  632:成员已添加至全局组。
  633:成员已从全局组删除。
  634:全局组已删除。
  635:已新建本地组。
  636:成员已添加至本地组。
  637:成员已从本地组删除。
  638:本地组已删除。
  639:本地组帐户已更改。
  641:全局组帐户已更改。
  642:用户帐户已更改。
  643:域策略已修改。
  644:用户帐户被自动锁定。
  645:计算机帐户已创建。
  646:计算机帐户已更改。
  647:计算机帐户已删除。
  648:禁用安全的本地安全组已创建。
  
  注意:
  从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。
  649:禁用安全的本地安全组已更改。
  650:成员已添加至禁用安全的本地安全组。
  651:成员已从禁用安全的本地安全组删除。
  652:禁用安全的本地组已删除。
  653:禁用安全的全局组已创建。
  654:禁用安全的全局组已更改。
  655:成员已添加至禁用安全的全局组。
  656:成员已从禁用安全的全局组删除。
  657:禁用安全的全局组已删除。
  658:启用安全的通用组已创建。
  659:启用安全的通用组已更改。
  660:成员已添加至启用安全的通用组。
  661:成员已从启用安全的通用组删除。
  662:启用安全的通用组已删除。
  663:禁用安全的通用组已创建。
  664:禁用安全的通用组已更改。
  665:成员已添加至禁用安全的通用组。
  666:成员已从禁用安全的通用组删除。
  667:禁用安全的通用组已删除。
  668:组类型已更改。
  684:管理组成员的安全描述符已设置。
  
  注意:
  在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。
  685:帐户名称已更改。
  
  三、目录服务访问事件
  
  下面显示了由"审核目录服务访问"安全模板设置所生成的安全事件。
  566:发生了一般对象操作。
  
  四、登录事件ID
  
  528:用户成功登录到计算机。
  529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。
  530:登录失败。试图在允许的时间外登录。
  531:登录失败。试图使用禁用的帐户登录。
  532:登录失败。试图使用已过期的帐户登录。
  533:登录失败。不允许登录到指定计算机的用户试图登录。
  534:登录失败。用户试图使用不允许的密码类型登录。
  535:登录失败。指定帐户的密码已过期。
  536:登录失败。Net Logon 服务没有启动。
  537:登录失败。由于其他原因登录尝试失败。
  
  注意:
  在某些情况下,登录失败的原因可能是未知的。
  538:用户的注销过程已完成。
  539:登录失败。试图登录时,该帐户已锁定。
  540:用户成功登录到网络。
  541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。
  542:数据频道已终止。
  543:主要模式已终止。
  
  注意:
  如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。
  544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
  545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。
  546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。
  547:在 IKE 握手过程中,出现错误。
  548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。
  549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。
  550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。
  551:用户已启动注销过程。
  552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
  682:用户已重新连接至已断开的终端服务器会话。
  683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。
  
  五、对象访问事件
  
  下面显示了由"审核对象访问"安全模板设置所生成的安全事件。
  560:访问权限已授予现有的对象。
  562:指向对象的句柄已关闭。
  563:试图打开一个对象并打算将其删除。
  
  注意:
  当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统。
  564:受保护对象已删除。
  565:访问权限已授予现有的对象类型。
  567:使用了与句柄关联的权限。
  
  注意:
  创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。
  568:试图创建与正在审核的文件的硬链接。
  569:授权管理器中的资源管理器试图创建客户端上下文。
  570:客户端试图访问对象。
  
  注意:
  在此对象上发生的每个尝试操作都将生成一个事件。
  571:客户端上下文由授权管理器应用程序删除。
  572:Administrator Manager(管理员管理器)初始化此应用程序。
  772:证书管理器已拒绝挂起的证书申请。
  773:证书服务已收到重新提交的证书申请。
  774:证书服务已吊销证书。
  775:证书服务已收到发行证书吊销列表 (CRL) 的请求。
  776:证书服务已发行 CRL。
  777:已制定证书申请扩展。
  778:已更改多个证书申请属性。
  779:证书服务已收到关机请求。
  780:已开始证书服务备份。
  781:已完成证书服务备份。
  782:已开始证书服务还原。
  783:已完成证书服务还原。
  784:证书服务已开始。
  785:证书服务已停止。
  786:已更改证书服务的安全权限。
  787:证书服务已检索存档密钥。
  788:证书服务已将证书导入其数据库中。
  789:证书服务审核筛选已更改。
  790:证书服务已收到证书申请。
  791:证书服务已批准证书申请并已颁发证书。
  792:证书服务已拒绝证书申请。
  793:证书服务将证书申请状态设为挂起。
  794:证书服务的证书管理器设置已更改。
  795:证书服务中的配置项已更改。
  796:证书服务的属性已更改。
  797:证书服务已将密钥存档。
  798:证书服务导入密钥并将其存档。
  799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。
  800:已从证书数据库删除一行或多行。
  801:角色分离已启用。
  
  六、审核策略更改事件
  
  下面显示了由"审核策略更改"安全模板设置所生成的安全事件。
  608:已分配用户权限。
  609:用户权限已删除。
  610:与其他域的信任关系已创建。
  611:与其他域的信任关系已删除。
  612:审核策略已更改。
  613:Internet 安全 (IPSec) 策略代理已启动。
  614:IPSec 策略代理已禁用。
  615:IPSec 策略代理已更改。
  616:IPSec 策略代理遇到一个可能很严重的故障。
  617:Kerberos v5 策略已更改。
  618:加密数据恢复策略已更改。
  620:与其他域的信任关系已修改。
  621:已授予帐户系统访问权限。
  622:已删除帐户的系统访问权限。
  623:按用户设置审核策略。
  625:按用户刷新审核策略。
  768:检测到两个林的名称空间元素之间有冲突。
  
  注意:
  当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些
【责编:admin】

--------------------next---------------------

阅读(140) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~