跳到主要內容

安全事件日誌中的事件編號與描述

安全事件日誌中的事件編號與描述



--------------------------------------------------------------------------------



帳號登入事件

(事件編號與描述)

672 身份驗證服務(AS)票證得到成功發行與驗證。

673 票證使用權服務(TGS)票證得到使用權。TGS是一份由Kerberos 5.0版票證使用權服務(TGS)發行、且允許用戶針對域中特定服務進行身份驗證的票證。

674 安全主體重建AS票證或TGS票證。

675 預身份驗證失敗。這種事件將在用戶輸入錯誤密碼時由密鑰分發中心(KDC)產生。

676 身份驗證票證請求失敗。這種事件在Windows XP Professional作業系統或Windows Server產品家族成員中將不會產生。

677 TGS票證無法得到使用權。這種事件在Windows XP Professional作業系統或Windows Server產品家族成員中將不會產生。

678 指定帳號成功映射到一個域帳號。

681 登入失敗。域帳號嘗試進行登入。這種事件在Windows XP Professional作業系統或Windows Server產品家族成員中將不會產生。

682 用戶重新連線到一個已經中斷連線連接的終端伺服器會話上。

683 用戶在沒有註銷的情況下與終端伺服器會話中斷連線連接。





帳號管理事件

624 一個用戶帳號被新增。

627 一個用戶密碼被修改。

628 一個用戶密碼被設定。

630 一個用戶密碼被移除。

631 一個全局組被新增。

632 一個成員被增加到特定全局組中。

633 一個成員從特定全局組中被移除。

634 一個全局組被移除。

635 一個新的本機組被新增。

636 一個成員被增加到本機組中。

637 一個成員從本機組中被移除。

638 一個本機組被移除。

639 一個本機組帳號被修改。

641 一個全局組帳號被修改。

642 一個用戶帳號被修改。

643 一個域原則被修改。

644 一個用戶帳號被自動鎖定。

645 一個電腦帳號被新增。

646 一個電腦帳號被修改。

647 一個電腦帳號被移除。

648 一個禁用安全特性的本機安全組被新增。說明:正式名稱中的SECURITY_DISABLED意味著這個組無法用於在訪問檢查中授予權限。

649 一個禁用安全特性的本機安全組被修改。

650 一個成員被增加到一個禁用安全特性的本機安全組中。

651 一個成員從一個禁用安全特性的本機安全組中被移除。

652 一個禁用安全特性的本機組被移除。

653 一個禁用安全特性的全局組被新增。

654 一個禁用安全特性的全局組被修改。

655 一個成員被增加到一個禁用安全特性的全局組中。

656 一個成員從一個禁用安全特性的全局組中被移除。

657 一個禁用安全特性的全局組被移除。

658 一個啟用安全特性的通用組被新增。

659 一個啟用安全特性的通用組被修改。

660 一個成員被增加到一個啟用安全特性的通用組中。

661 一個成員從一個啟用安全特性的通用組中被移除。

662 一個啟用安全特性的通用組被移除。

663 一個禁用安全特性的通用組被新增。

664 一個禁用安全特性的通用組被修改。

665 一個成員被增加到一個禁用安全特性的通用組中。

666 一個成員從一個禁用安全特性的通用組中被移除。

667 一個禁用安全特性的通用組被移除。

668 一個組檔案類型被修改。

684 管理組成員的安全描述符被設定。說明:在域控制器上,一個後台執行緒每60秒將對管理組中的所有成員(如域管理員、企業管理員和架構管理員)進行一次搜尋並對其套用一個經過修復的安全描述符。這種事件將被記錄下來。

685 一個帳號名稱被修改。





稽核登入事件

528 用戶成功登入到電腦上。

529 登入失敗:試圖使用未知用戶名或帶有錯誤密碼的已知用戶名進行登入。

530 登入失敗:試圖在允許時間範圍以外進行登入。

531 登入失敗:試圖通過禁用帳號進行登入。

532 登入失敗:試圖通過過期帳號進行登入。

533 登入失敗:試圖通過不允許在特定電腦上進行登入的用戶帳號進行登入。

534 登入失敗:用戶試圖通過不允許使用的密碼檔案類型進行登入。

535 登入失敗:針對指定帳號的密碼已經過期。

536 登入失敗:網路登入服務未被啟動。

537 登入失敗:由於其它原因導致登入失敗。說明:在某些情況下,登入失敗原因可能無法確定。

538 針對某一用戶的註銷操作完成。

539 登入失敗:登入帳號在登入時刻已被鎖定。

540 用戶成功登入到網路。

541 本機電腦與所列對等客戶身份標幟之間的主模式Internet密鑰交換(IKE)身份驗證操作已經完成(建立一條安全關聯),或者快速模式已經建立一條資料通道。

542 資料通道被中斷。

543 主模式被中斷。說明:這種事件可能在安全關聯時間限制到期(預設值為8小時)、原則修改或對等客戶中斷時發生。

544 由於對等客戶未能提供合法證書或簽署未通過驗證導致主模式身份驗證失敗。

545 由於Kerberos失敗或密碼不合法導致主模式身份驗證失敗。

546 由於對等客戶傳送非法了非法提議,IKE 安全關聯建立沒有成功。收到一個包含非法資料的資料包。

547 IKE握手程序中發生錯誤。

548 登入失敗:來自信任域的安全標幟符(SID)與客戶端的帳號域SID不匹配。

549 登入失敗:在跨域身份驗證程序中,所有同非信任名稱空間相對應的SID均已被過濾掉。

550 能夠指示可能發生拒絕服務(DoS)攻擊的通知消息。

551 用戶發起註銷操作。

552 用戶在已經通過其他身份登入的情況下使用明確憑據成功登入到電腦上。

682 用戶重新連線到一個已經中斷連線連接的終端伺服器會話上。

683 用戶在沒有註銷的情況下與終端伺服器會話中斷連線連接。說明:這種事件將在用戶通過網路與終端伺服器會話建立連接時產生。它將出現在終端伺服器上。





對像訪問事件

560 訪問由一個已經存在的對象提供使用權。

562 一個對像訪問關鍵句被關閉。

563 試圖開啟並移除一個對象。說明:當您在Createfile()函數中指定FILE_DELETE_ON_CLOSE標誌時,這種事件將被文件系統所使用。

564 一個保護對像被移除。

565 訪問由一種已經存在的對象檔案類型提供使用權。

567 一種與關鍵句相關聯的權限被使用。說明:一個授予特定權限(讀取、寫入等)的關鍵句被新增。當使用這個關鍵句時,至多針對所用到的每種權限產生一次稽核。

568 試圖針對正在進行稽核的文件新增硬連接。

569 身份驗證管理器中的檔案總管試圖新增客戶端上下文。

570 客戶端試圖訪問一個對象。說明:針對對象的每次操作嘗試都將產生一個事件。

571 客戶端上下文被身份驗證管理器應用程式移除。

572 管理員管理器啟始化應用程式。

772 證書管理器拒絕了掛起的證書申請。

773 證書服務收到重新提交的證書申請。

774 證書服務吊銷了證書。

775 證書服務收到發行證書吊銷列表(CRL) 的請求。

776 證書服務發行了證書吊銷列表(CRL)。

777 更改了證書申請增強。

778 更改了多個證書申請內容。

779 證書服務收到關機請求。

780 已開始證書服務制作備份。

781 已完成證書服務制作備份。

782 已開始證書服務還原。

783 已完成證書服務還原。

784 證書服務已經開始。

785 證書服務已經停止。

786 證書服務更改的安全權限。

787 證書服務檢索了存檔密鑰。

788 證書服務將證書匯入資料庫中。

789 證書服務更改的稽核篩選。

790 證書服務收到證書申請。

791 證書服務批准了證書申請並頒發了證書。

792 證書服務拒絕證書申請。

793 證書服務將證書申請狀態設為掛起。

794 證書服務更改的證書管理器設定

795 證書服務更改的組態項。

796 證書服務更改內容。

797 證書服務存檔了密鑰。

798 證書服務匯入和存檔了密鑰。

799 證書服務將證書發行機構(CA)證書發行到Active Directory。

800 從證書資料庫移除一行或多行。

801 角色分隔被啟用。



稽核原則更改事件

608 用戶權限已被分配。

609 用戶權限已被移除。

610 與另一個域的信任關係已被新增。

611 與另一個域的信任關係已被移除。

612 稽核原則已被更改。

613 Internet傳輸協定安全性(IPSec)原則代理已經啟動。

614 IPSec原則代理已被禁用。

615 IPSec原則代理已被更改。

616 IPSec原則代理遇到一個潛在的嚴重問題。

617 Kerberos 5.0版原則已被更改。

618 經過加密的資料恢復原則已更改。

620 與另一個域的信任關係已被修改。

621 系統訪問權限已被授予帳號。

622 系統訪問權限已從帳號中移除。

623 稽核原則以對等用戶為服務機構進行設定。

625 稽核原則以對等用戶為服務機構進行重新整理。

768 檢測到一個森林中的名稱空間元素與另一個森林中的名稱空間元素發生衝突。說明:當一個森林中的名稱空間元素與另一個森林中的名稱空間元素發生重疊時,它將無法明確解析屬於這兩個名稱空間元素的名稱。這種重疊現象也稱作衝突。並非針對每種記錄檔案類型的參數均合法。舉例來說,諸如DNS名稱、NetBIOS 名稱和SID之類的字段對於「TopLevelName」檔案類型的記錄便是非法的。

769 增加了受信任的森林訊息。說明:這種事件消息將在更新受信任的森林訊息以及增加一條或多條記錄時產生。針對每條增加、移除或修改的記錄都將產生一條事件消息。如果在針對森林信任訊息的單一更新操作中增加、移除或修改多條記錄,產生的所有事件消息都將被分配一個相同且唯一標幟符(稱作操作編號)。這種方式使您能夠判斷出多條事件消息是由一次操作產生的。並非針對每種記錄檔案類型的參數均合法。舉例來說,諸如DNS名稱、NetBIOS名稱和SID之類的字段對於「TopLevelName」檔案類型的記錄便是非法的。

770 移除了受信任的森林訊息。說明:檢視編號為769的事件描述。

771 修改了受信任的森林訊息。說明:檢視編號為769的事件描述。

805 事件日誌服務讀取針對會話的安權限使用事件





權限使用事件

576 特定權限已被增加到用戶訪問令牌中。說明:這種事件將在用戶登入時產生。

577 用戶試圖執行受到權限保護的系統服務操作。

578 在已經處於開啟狀態的受保護對像關鍵句上使用權限。





詳細跟蹤事件

592 已經新增新的程序。

593 已經結束某程序。

594 對象的關鍵句被重複

595 已經取得對象的間接訪問權。

596 資料保護主密鑰制作備份。說明:主密鑰將供CryptProtectData和CryptUnprotectData例程以及加密文件系統(EFS)所使用。這種主密鑰將在每次新增新增主密鑰時予以制作備份。(預設設定為90天。)密鑰制作備份操作通常由域控制器執行。

597 資料保護主密鑰已由恢復伺服器恢復完畢。

598 稽核資料已得到保護。

599 稽核資料保護已取消。

600 分派給行程一個主令牌。

601 用戶嘗試安裝服務。

602 一個計劃作業已被新增。





面向稽核系統事件的系統事件消息

512 正在啟動 Windows。

513 Windows 正在關機。

514 本機安全機制機構已載入身份驗證資料包。

515 受信任的登入程序已經在本機安全機制機構註冊。

516 用來列隊稽核消息的內部資源已經用完,從而導致部分稽核資料遺失。

517 稽核日誌已經清除。

518 安全帳戶管理器已經載入通知資料包。

519 一個程序正在試圖通過無效本機程序使用(LPC)連接阜來模擬客戶端並針對客戶端位址空間執行回覆、讀取或寫入操作。

520 系統時間已更改。說明:這種稽核操作通常成對出現。

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

低調的大提琴

低調的大提琴 靜靜默默的歌唱 在無人發現的角落 獨自低鳴 低調的大提琴 沉溺於寂靜旋律 在月光灑落的夜晚 與蟲鳴交響 低調的大提琴 在漆黑中死去 在幾個世紀後才被發現 卻未曾留在任何人心中 低調的大提琴 不善言語表達 用它的靈魂唱出心情 在人們仔細聆聽下綻放光彩

我的花店不賣薔薇(五)

日劇『沒有薔薇的花店』之文字特輯 呵呵~首先感謝忘年好友-任凱大哥的鼎力協助 由他精心挑選,劇集中精彩對話 『直哉:大哥你人好,我沒話說。不過嘛,這麼做到底妥不妥當? 小雫:什麼妥不妥當? 直哉:不會讓人家產生誤會嗎?她會覺得你對她有意思。 小雫:你的意思是讓爸爸不要對她太好? 直哉:這個我可沒說。在公車上給人讓個座之類的倒沒什麼,不過啊,這助人為樂的事要是做過了頭,有時候會在無意中傷害別人的。 小雫:不大懂。 直哉:她要是喜歡上大哥你的話,雖說是帶著魚子的柳葉魚,你怎麼說也是個單身男子,就算有想再婚的念頭也不奇怪。 小雫:你說誰是柳葉魚? 英治:我沒那種想法。 直哉:那誰說得準。或許她本來已經徹底放棄了戀愛、結婚,你卻給絕望中的人帶去希望,然後再對她說:「我就是心眼好,對人好是我的習慣」,那人家多可憐。 小雫:直哉的話也有道理。 直哉:怎麼說我也是做過牛郎的。女人心還不就那麼回事嘛。大哥該不會是……披著羊皮還帶著小孩的狼?這個時候就該說你是偽君子了。你對人好,你心裡舒服,但是總要考慮一下對方是怎麼想的。 英治:誰跟你說我心裡舒服了? 直哉:不過,大哥要是真想接受她,就又另當別論了,把她當做再婚對象看待的話。 英治:也沒這麼想。 直哉:說到底,你對她還是只有同情吧。』 被刺傷了這麼多次 也總是不懂,難道對人好,也是一種錯嗎 也或許就像直哉說的:「對人好,只是為了自己舒服,是一種習慣。」 總是想成為別人迷途羔羊的最後一道防線 企圖以壞人角色,來抵擋那最後的衝動 卻往往總是不夠仔細、不夠貼心,不懂得更深入著想,而兩敗俱傷 或是對我,不能感到全然地信任,害怕自己赤裸裸地被看穿,所以用盡全力來抗拒,來反擊 可惜我們不是在演日劇,你也不是非我不可 只是單純地想對這樣有緣認識,當朋友的人好 是這世界壞人太多嗎?還是我看起來就是心懷不軌^O^ 我是被動的 當你願意跟我聯繫、聊天 我亦會更用心回應 當你願意找我 我亦會更笑容迎接 當你給了我三分 我亦會回你五分 『信任、尊重與平等,是我們的默契。』