2021HW参考 | windows安全事件id汇总

admin 2022年5月16日02:45:39评论557 views字数 8916阅读29分43秒阅读模式

Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。


ID
安全事件信息
1100
事件记录服务已关闭
1101
审计事件已被运输中断。
1102
审核日志已清除
1104
安全日志现已满
1105
事件日志自动备份
1108
事件日志记录服务遇到错误
4608
Windows正在启动
4609
Windows正在关闭
4610
本地安全机构已加载身份验证包
4611
已向本地安全机构注册了受信任的登录进程
4612
为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
4614
安全帐户管理器已加载通知包。
4615
LPC端口使用无效
4616
系统时间已更改。
4618
已发生受监视的安全事件模式
4621
管理员从CrashOnAuditFail恢复了系统
4622
本地安全机构已加载安全包。
4624
帐户已成功登录
4625
帐户无法登录
4626
用户/设备声明信息
4627
集团会员信息。
4634
帐户已注销
4646
IKE
DoS防护模式已启动
4647
用户启动了注销
4648
使用显式凭据尝试登录
4649
检测到重播攻击
4650
建立了IPsec主模式安全关联
4651
建立了IPsec主模式安全关联
4652
IPsec主模式协商失败
4653
IPsec主模式协商失败
4654
IPsec快速模式协商失败
4655
IPsec主模式安全关联已结束
4656
请求了对象的句柄
4657
注册表值已修改
4658
对象的句柄已关闭
4659
请求删除对象的句柄
4660
对象已删除
4661
请求了对象的句柄
4662
对对象执行了操作
4663
尝试访问对象
4664
试图创建一个硬链接
4665
尝试创建应用程序客户端上下文。
4666
应用程序尝试了一个操作
4667
应用程序客户端上下文已删除
4668
应用程序已初始化
4670
对象的权限已更改
4671
应用程序试图通过TBS访问被阻止的序号
4672
分配给新登录的特权
4673
特权服务被召唤
4674
尝试对特权对象执行操作
4675
SID被过滤掉了
4688
已经创建了一个新流程
4689
一个过程已经退出
4690
尝试复制对象的句柄
4691
请求间接访问对象
4692
尝试备份数据保护主密钥
4693
尝试恢复数据保护主密钥
4694
试图保护可审计的受保护数据
4695
尝试不受保护的可审计受保护数据
4696
主要令牌已分配给进程
4697
系统中安装了一项服务
4698
已创建计划任务
4699
计划任务已删除
4700
已启用计划任务
4701
计划任务已禁用
4702
计划任务已更新
4703
令牌权已经调整
4704
已分配用户权限
4705
用户权限已被删除
4706
为域创建了新的信任
4707
已删除对域的信任
4709
IPsec服务已启动
4710
IPsec服务已禁用
4711
PAStore引擎(1%)
4712
IPsec服务遇到了潜在的严重故障
4713
Kerberos策略已更改
4714
加密数据恢复策略已更改
4715
对象的审核策略(SACL)已更改
4716
可信域信息已被修改
4717
系统安全访问权限已授予帐户
4718
系统安全访问已从帐户中删除
4719
系统审核策略已更改
4720
已创建用户帐户
4722
用户帐户已启用
4723
尝试更改帐户的密码
4724
尝试重置帐户密码
4725
用户帐户已被禁用
4726
用户帐户已删除
4727
已创建启用安全性的全局组
4728
已将成员添加到启用安全性的全局组中
4729
成员已从启用安全性的全局组中删除
4730
已删除启用安全性的全局组
4731
已创建启用安全性的本地组
4732
已将成员添加到启用安全性的本地组
4733
成员已从启用安全性的本地组中删除
4734
已删除已启用安全性的本地组
4735
已启用安全性的本地组已更改
4737
启用安全性的全局组已更改
4738
用户帐户已更改
4739
域策略已更改
4740
用户帐户已被锁定
4741
已创建计算机帐户
4742
计算机帐户已更改
4743
计算机帐户已删除
4744
已创建禁用安全性的本地组
4745
已禁用安全性的本地组已更改
4746
已将成员添加到已禁用安全性的本地组
4747
已从安全性已禁用的本地组中删除成员
4748
已删除安全性已禁用的本地组
4749
已创建一个禁用安全性的全局组
4750
已禁用安全性的全局组已更改
4751
已将成员添加到已禁用安全性的全局组中
4752
成员已从禁用安全性的全局组中删除
4753
已删除安全性已禁用的全局组
4754
已创建启用安全性的通用组
4755
启用安全性的通用组已更改
4756
已将成员添加到启用安全性的通用组中
4757
成员已从启用安全性的通用组中删除
4758
已删除启用安全性的通用组
4759
创建了一个安全禁用的通用组
4760
安全性已禁用的通用组已更改
4761
已将成员添加到已禁用安全性的通用组中
4762
成员已从禁用安全性的通用组中删除
4763
已删除安全性已禁用的通用组
4764
组类型已更改
4765
SID历史记录已添加到帐户中
4766
尝试将SID历史记录添加到帐户失败
4767
用户帐户已解锁
4768
请求了Kerberos身份验证票证(TGT)
4769
请求了Kerberos服务票证
4770
更新了Kerberos服务票证
4771
Kerberos预身份验证失败
4772
Kerberos身份验证票证请求失败
4773
Kerberos服务票证请求失败
4774
已映射帐户以进行登录
4775
无法映射帐户以进行登录
4776
域控制器尝试验证帐户的凭据
4777
域控制器无法验证帐户的凭据
4778
会话重新连接到Window
Station
4779
会话已与Window
Station断开连接
4780
ACL是在作为管理员组成员的帐户上设置的
4781
帐户名称已更改
4782
密码哈希帐户被访问
4783
创建了一个基本应用程序组
4784
基本应用程序组已更改
4785
成员已添加到基本应用程序组
4786
成员已从基本应用程序组中删除
4787
非成员已添加到基本应用程序组
4788
从基本应用程序组中删除了非成员。
4789
基本应用程序组已删除
4790
已创建LDAP查询组
4791
基本应用程序组已更改
4792
LDAP查询组已删除
4793
密码策略检查API已被调用
4794
尝试设置目录服务还原模式管理员密码
4797
试图查询帐户是否存在空白密码
4798
枚举了用户的本地组成员身份。
4799
已枚举启用安全性的本地组成员身份
4800
工作站已锁定
4801
工作站已解锁
4802
屏幕保护程序被调用
4803
屏幕保护程序被解雇了
4816
RPC在解密传入消息时检测到完整性违规
4817
对象的审核设置已更改。
4818
建议的中央访问策略不授予与当前中央访问策略相同的访问权限
4819
计算机上的中央访问策略已更改
4820
Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
4821
Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
4822
NTLM身份验证失败,因为该帐户是受保护用户组的成员
4823
NTLM身份验证失败,因为需要访问控制限制
4824
使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
4825
用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
Desktop Users组或Administrators组的成员时才允许用户进行连接
4826
加载引导配置数据
4830
SID历史记录已从帐户中删除
4864
检测到名称空间冲突
4865
添加了受信任的林信息条目
4866
已删除受信任的林信息条目
4867
已修改受信任的林信息条目
4868
证书管理器拒绝了挂起的证书请求
4869
证书服务收到重新提交的证书请求
4870
证书服务撤销了证书
4871
证书服务收到发布证书吊销列表(CRL)的请求
4872
证书服务发布证书吊销列表(CRL)
4873
证书申请延期已更改
4874
一个或多个证书请求属性已更改。
4875
证书服务收到关闭请求
4876
证书服务备份已启动
4877
证书服务备份已完成
4878
证书服务还原已开始
4879
证书服务恢复已完成
4880
证书服务已启动
4881
证书服务已停止
4882
证书服务的安全权限已更改
4883
证书服务检索到存档密钥
4884
证书服务将证书导入其数据库
4885
证书服务的审核筛选器已更改
4886
证书服务收到证书请求
4887
证书服务批准了证书请求并颁发了证书
4888
证书服务拒绝了证书请求
4889
证书服务将证书请求的状态设置为挂起
4890
证书服务的证书管理器设置已更改。
4891
证书服务中的配置条目已更改
4892
证书服务的属性已更改
4893
证书服务存档密钥
4894
证书服务导入并存档了一个密钥
4895
证书服务将CA证书发布到Active
Directory域服务
4896
已从证书数据库中删除一行或多行
4897
启用角色分离
4898
证书服务加载了一个模板
4899
证书服务模板已更新
4900
证书服务模板安全性已更新
4902
已创建每用户审核策略表
4904
尝试注册安全事件源
4905
尝试取消注册安全事件源
4906
CrashOnAuditFail值已更改
4907
对象的审核设置已更改
4908
特殊组登录表已修改
4909
TBS的本地策略设置已更改
4910
TBS的组策略设置已更改
4911
对象的资源属性已更改
4912
每用户审核策略已更改
4913
对象的中央访问策略已更改
4928
建立了Active
Directory副本源命名上下文
4929
已删除Active
Directory副本源命名上下文
4930
已修改Active
Directory副本源命名上下文
4931
已修改Active
Directory副本目标命名上下文
4932
已开始同步Active
Directory命名上下文的副本
4933
Active
Directory命名上下文的副本的同步已结束
4934
已复制Active
Directory对象的属性
4935
复制失败开始
4936
复制失败结束
4937
从副本中删除了一个延迟对象
4944
Windows防火墙启动时,以下策略处于活动状态
4945
Windows防火墙启动时列出了规则
4946
已对Windows防火墙例外列表进行了更改。增加了一条规则
4947
已对Windows防火墙例外列表进行了更改。规则被修改了
4948
已对Windows防火墙例外列表进行了更改。规则已删除
4949
Windows防火墙设置已恢复为默认值
4950
Windows防火墙设置已更改
4951
规则已被忽略,因为Windows防火墙无法识别其主要版本号
4952
已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
4953
Windows防火墙已忽略规则,因为它无法解析规则
4954
Windows防火墙组策略设置已更改。已应用新设置
4956
Windows防火墙已更改活动配置文件
4957
Windows防火墙未应用以下规则
4958
Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
4960
IPsec丢弃了未通过完整性检查的入站数据包
4961
IPsec丢弃了重放检查失败的入站数据包
4962
IPsec丢弃了重放检查失败的入站数据包
4963
IPsec丢弃了应该受到保护的入站明文数据包
4964
特殊组已分配给新登录
4965
IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
4976
在主模式协商期间,IPsec收到无效的协商数据包。
4977
在快速模式协商期间,IPsec收到无效的协商数据包。
4978
在扩展模式协商期间,IPsec收到无效的协商数据包。
4979
建立了IPsec主模式和扩展模式安全关联。
4980
建立了IPsec主模式和扩展模式安全关联
4981
建立了IPsec主模式和扩展模式安全关联
4982
建立了IPsec主模式和扩展模式安全关联
4983
IPsec扩展模式协商失败
4984
IPsec扩展模式协商失败
4985
交易状态已发生变化
5024
Windows防火墙服务已成功启动
5025
Windows防火墙服务已停止
5027
Windows防火墙服务无法从本地存储中检索安全策略
5028
Windows防火墙服务无法解析新的安全策略。
5029
Windows防火墙服务无法初始化驱动程序
5030
Windows防火墙服务无法启动
5031
Windows防火墙服务阻止应用程序接受网络上的传入连接。
5032
Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
5033
Windows防火墙驱动程序已成功启动
5034
Windows防火墙驱动程序已停止
5035
Windows防火墙驱动程序无法启动
5037
Windows防火墙驱动程序检测到严重的运行时错 终止
5038
代码完整性确定文件的图像哈希无效
5039
注册表项已虚拟化。
5040
已对IPsec设置进行了更改。添加了身份验证集。
5041
已对IPsec设置进行了更改。身份验证集已修改
5042
已对IPsec设置进行了更改。身份验证集已删除
5043
已对IPsec设置进行了更改。添加了连接安全规则
5044
已对IPsec设置进行了更改。连接安全规则已修改
5045
已对IPsec设置进行了更改。连接安全规则已删除
5046
已对IPsec设置进行了更改。添加了加密集
5047
已对IPsec设置进行了更改。加密集已被修改
5048
已对IPsec设置进行了更改。加密集已删除
5049
IPsec安全关联已删除
5050
尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
5051
文件已虚拟化
5056
进行了密码自检
5057
加密原语操作失败
5058
密钥文件操作
5059
密钥迁移操作
5060
验证操作失败
5061
加密操作
5062
进行了内核模式加密自检
5063
尝试了加密提供程序操作
5064
尝试了加密上下文操作
5065
尝试了加密上下文修改
5066
尝试了加密功能操作
5067
尝试了加密功能修改
5068
尝试了加密函数提供程序操作
5069
尝试了加密函数属性操作
5070
尝试了加密函数属性操作
5071
Microsoft密钥分发服务拒绝密钥访问
5120
OCSP响应程序服务已启动
5121
OCSP响应程序服务已停止
5122
OCSP响应程序服务中的配置条目已更改
5123
OCSP响应程序服务中的配置条目已更改
5124
在OCSP
Responder Service上更新了安全设置
5125
请求已提交给OCSP
Responder Service
5126
签名证书由OCSP
Responder Service自动更新
5127
OCSP吊销提供商成功更新了吊销信息
5136
目录服务对象已修改
5137
已创建目录服务对象
5138
目录服务对象已取消删除
5139
已移动目录服务对象
5140
访问了网络共享对象
5141
目录服务对象已删除
5142
添加了网络共享对象。
5143
网络共享对象已被修改
5144
网络共享对象已删除。
5145
检查网络共享对象以查看是否可以向客户端授予所需的访问权限
5146
Windows筛选平台已阻止数据包
5147
限制性更强的Windows筛选平台筛选器阻止了数据包
5148
Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
5149
DoS攻击已经消退,正常处理正在恢复。
5150
Windows筛选平台已阻止数据包。
5151
限制性更强的Windows筛选平台筛选器阻止了数据包。
5152
Windows筛选平台阻止了数据包
5153
限制性更强的Windows筛选平台筛选器阻止了数据包
5154
Windows过滤平台允许应用程序或服务在端口上侦听传入连接
5155
Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
5156
Windows筛选平台允许连接
5157
Windows筛选平台已阻止连接
5158
Windows筛选平台允许绑定到本地端口
5159
Windows筛选平台已阻止绑定到本地端口
5168
SMB
/ SMB2的Spn检查失败。
5169
目录服务对象已修改
5170
在后台清理任务期间修改了目录服务对象
5376
已备份凭据管理器凭据
5377
Credential
Manager凭据已从备份还原
5378
策略不允许请求的凭据委派
5440
Windows筛选平台基本筛选引擎启动时出现以下callout
5441
Windows筛选平台基本筛选引擎启动时存在以下筛选器
5442
Windows筛选平台基本筛选引擎启动时,存在以下提供程序
5443
Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
5444
Windows筛选平台基本筛选引擎启动时,存在以下子层
5446
Windows筛选平台标注已更改
5447
Windows筛选平台筛选器已更改
5448
Windows筛选平台提供程序已更改
5449
Windows筛选平台提供程序上下文已更改
5450
Windows筛选平台子层已更改
5451
建立了IPsec快速模式安全关联
5452
IPsec快速模式安全关联已结束
5453
与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP
IPsec密钥模块(IKEEXT)服务
5456
PAStore引擎在计算机上应用了Active
Directory存储IPsec策略
5457
PAStore引擎无法在计算机上应用Active
Directory存储IPsec策略
5458
PAStore引擎在计算机上应用了Active
Directory存储IPsec策略的本地缓存副本
5459
PAStore引擎无法在计算机上应用Active
Directory存储IPsec策略的本地缓存副本
5460
PAStore引擎在计算机上应用了本地注册表存储IPsec策略
5461
PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
5462
PAStore引擎无法在计算机上应用某些活动IPsec策略规则
5463
PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
5464
PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
5465
PAStore
Engine收到强制重新加载IPsec策略的控件并成功处理控件
5466
PAStore引擎轮询Active
Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
IPsec策略的缓存副本
5467
PAStore引擎轮询Active
Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
5468
PAStore引擎轮询Active
Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
5471
PAStore引擎在计算机上加载了本地存储IPsec策略
5472
PAStore引擎无法在计算机上加载本地存储IPsec策略
5473
PAStore引擎在计算机上加载了目录存储IPsec策略
5474
PAStore引擎无法在计算机上加载目录存储IPsec策略
5477
PAStore引擎无法添加快速模式过滤器
5478
IPsec服务已成功启动
5479
IPsec服务已成功关闭
5480
IPsec服务无法获取计算机上的完整网络接口列表
5483
IPsec服务无法初始化RPC服务器。无法启动IPsec服务
5484
IPsec服务遇到严重故障并已关闭
5485
IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
5632
已请求对无线网络进行身份验证
5633
已请求对有线网络进行身份验证
5712
尝试了远程过程调用(RPC)
5888
COM
+目录中的对象已被修改
5889
从COM
+目录中删除了一个对象
5890
一个对象已添加到COM
+目录中
6144
组策略对象中的安全策略已成功应用
6145
处理组策略对象中的安全策略时发生一个或多个错误
6272
网络策略服务器授予用户访问权限
6273
网络策略服务器拒绝访问用户
6274
网络策略服务器放弃了对用户的请求
6275
网络策略服务器放弃了用户的记帐请求
6276
网络策略服务器隔离了用户
6277
网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
6278
网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
6279
由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
6280
网络策略服务器解锁了用户帐户
6281
代码完整性确定图像文件的页面哈希值无效...
6400
BranchCache:在发现内容可用性时收到格式错误的响应。
6401
BranchCache:从对等方收到无效数据。数据被丢弃。
6402
BranchCache:提供数据的托管缓存的消息格式不正确。
6403
BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
6404
BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
6405
BranchCache:发生了事件ID%1的%2个实例。
6406
%1注册到Windows防火墙以控制以下过滤:
6407
1%
6408
已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
6409
BranchCache:无法解析服务连接点对象
6410
代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
6416
系统识别出新的外部设备。
6417
FIPS模式加密自检成功
6418
FIPS模式加密自检失败
6419
发出了禁用设备的请求
6420
设备已禁用
6421
已发出请求以启用设备
6422
设备已启用
6423
系统策略禁止安装此设备
6424
在事先被政策禁止之后,允许安装此设备
8191
最高系统定义的审计消息值

推荐阅读

XSS 实战思路总结

内网信息收集总结

xss攻击、绕过最全总结

一些webshell免杀的技巧

命令执行写webshell总结

SQL手工注入总结 必须收藏

后台getshell常用技巧总结

web渗透之发现内网有大鱼

蚁剑特征性信息修改简单过WAF

查看更多精彩内容,还请关注橘猫学安全

每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看2021HW参考 | windows安全事件id汇总

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日02:45:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2021HW参考 | windows安全事件id汇总http://cn-sec.com/archives/1009729.html

发表评论

匿名网友 填写信息