Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Dodatek L: zdarzenia do monitorowania

Bill Mathers|Ostatnia aktualizacja: 10.03.2017
|
1 Współautor

Dotyczy: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dodatek L: zdarzenia do monitorowania

W poniższej tabeli wymieniono zdarzenia, które należy monitorować w danym środowisku, zgodnie z zalecenia zawarte w monitorowania usługi Active Directory logowania złamania. W poniższej tabeli w kolumnie "Bieżący identyfikator zdarzenia systemu Windows" jest wyświetlany identyfikator zdarzenia zaimplementowanego w wersjach systemu Windows i Windows Server, które są obecnie w wsparcia podstawowego.

W kolumnie "Starszy identyfikator zdarzenia systemu Windows" jest wyświetlany odpowiedni identyfikator zdarzenia w starszych wersjach systemu Windows, takich jak komputery klienckie z systemem Windows XP lub wcześniej i serwerów z systemem Windows Server 2003 lub wcześniejszych. "Poziom zagrożenia" który kolumny umożliwia określenie, czy zdarzenia należy przypisywać niski, średni lub wysoki poziom zagrożenia w procesie wykrywania ataków, a w kolumnie "Podsumowanie zdarzenia" zawiera krótki opis zdarzenia.

Wysoki poziom zagrożenia oznacza, że jeden należy zbadać wystąpienia zdarzenia. Średni lub niski poziom zagrożenia oznacza, że te zdarzenia tylko należy zbadać ewentualnych nieoczekiwanie lub znacznie przewyższa oczekiwaną linię bazową w okresie czasu. Wszystkie organizacje powinny testować te zalecenia w swoich środowiskach przed utworzeniem alertów wymagających przeprowadzenia dochodzenia. Każdym środowisku jest inna, a niektóre zdarzenia pozycjonowane z wysoki poziom zagrożenia może być spowodowana innych nieszkodliwe zdarzenia.

Bieżący identyfikator zdarzenia systemu WindowsIdentyfikator zdarzenia starszej wersji systemu WindowsPoziom zagrożeniaPodsumowanie zdarzenia
4618N/DWysokaWystąpiło wzorzec zdarzeń monitorowanych zabezpieczeń.
4649N/DWysokaWykryto atak powtarzania. Może być nieszkodliwe fałszywie pozytywna z powodu błędu konfiguracji.
4719612WysokaZmieniono zasady inspekcji systemu.
4765N/DWysokaHistoria SID została dodana do konta.
4766N/DWysokaPróba dodania historii identyfikatora SID do konta nie powiodło się.
4794N/DWysokaNastąpiła próba ustawić trybu przywracania usług katalogowych.
4897801WysokaSeparacja ról włączona:
4964N/DWysokaGrupy specjalne zostały przypisane do nowego logowania.
5124N/DWysokaUstawienia zabezpieczeń został zaktualizowany Usługa obiektu odpowiadającego protokołu OCSP
N/D550Średniej lub dużejAtak możliwe odmowa usługi (DoS)
1102517Średniej lub dużejDziennik inspekcji zostały wyczyszczone.
4621N/DŚredniAdministrator odzyskać system z CrashOnAuditFail. Użytkownicy, którzy nie są administratorami mogą być teraz do logowania. Niektóre działania podlegającą inspekcji może nie zostały zarejestrowane.
4675N/DŚredniIdentyfikatory SID były filtrowane.
4692N/DŚredniPróbowano wykonać kopię zapasową klucza głównego ochrony danych.
4693N/DŚredniPodjęto próbę odzyskiwania klucza głównego ochrony danych.
4706610ŚredniUtworzono nowego zaufania z domeną.
4713617ŚredniZasady protokołu Kerberos został zmieniony.
4714618ŚredniZasady odzyskiwania zaszyfrowanych danych został zmieniony.
4715N/DŚredniZmieniono zasady inspekcji (SACL) obiektu.
4716620ŚredniInformacje o zaufanej domeny został zmodyfikowany.
4724628ŚredniNastąpiła próba zresetować hasło do konta.
4727631ŚredniUtworzono grupę globalną z włączonymi zabezpieczeniami.
4735639ŚredniZostał zmieniony zabezpieczoną grupy lokalnej.
4737641ŚredniZmieniono grupę globalną z włączonymi zabezpieczeniami.
4739643ŚredniZasady domeny została zmieniona.
4754658ŚredniUtworzono grupę uniwersalną z włączonymi zabezpieczeniami.
4755659ŚredniZmieniono grupę uniwersalną z włączonymi zabezpieczeniami.
4764667ŚredniUsunięto grupę zabezpieczeń wyłączone
4764668ŚredniTyp grupy został zmieniony.
4780684ŚredniListy kontroli Dostępu została ustawiona na kontach, które są członkami grupy Administratorzy.
4816N/DŚredniRPC wykryto naruszenia integralności podczas odszyfrowywania wiadomości przychodzących.
4865N/DŚredniDodano wprowadzanie informacji o lesie zaufanym.
4866N/DŚredniWprowadzanie informacji o lesie zaufanym został usunięty.
4867N/DŚredniWprowadzanie informacji o lesie zaufanym został zmodyfikowany.
4868772ŚredniMenedżer certyfikatów odrzucił oczekujące żądanie certyfikatu.
4870774ŚredniUsługi certyfikatów odwołały certyfikat.
4882786ŚredniUprawnienia zabezpieczeń dla usług certyfikatów zostały zmienione.
4885789ŚredniFiltr inspekcji dla usług certyfikatów został zmieniony.
4890794ŚredniUstawienia Menedżera certyfikatów dla usług certyfikatów zostały zmienione.
4892796ŚredniWłaściwość usług certyfikatów została zmieniona.
4896800ŚredniCo najmniej jeden wiersz został usunięty z bazy danych certyfikatów.
4906N/DŚredniWartość CrashOnAuditFail została zmieniona.
4907N/DŚredniUstawienia inspekcji dla obiektów zostały zmienione.
4908N/DŚredniSpecjalne logowania grup tabeli zmodyfikowane.
4912807ŚredniZasady inspekcji użytkownika zostało zmienione.
4960N/DŚredniProtokół IPsec Porzucanie pakietów przychodzących, które nie powiodło się sprawdzanie integralności. Jeśli ten problem będzie się powtarzał, może to wskazywać, że modyfikowany problem z siecią lub że pakiety przesyłane do tego komputera. Sprawdź, czy pakiety wysyłane z komputera zdalnego są takie same jak odbieranego przez ten komputer. Ten błąd może również oznaczać problemy współdziałanie z innymi implementacjami protokołu IPsec.
4961N/DŚredniProtokół IPsec porzucony pakietu przychodzącego, który nie powiodło się Sprawdzanie powtórzeń. Jeśli ten problem będzie się powtarzał, może to wskazywać powtarzania atak tego komputera.
4962N/DŚredniProtokół IPsec porzucony pakietu przychodzącego, który nie powiodło się Sprawdzanie powtórzeń. Pakiet przychodzący ma zbyt niski numer sekwencyjny upewnij się, że nie było powtarzania.
4963N/DŚredniIPsec porzucony pakiet przychodzący zwykłego tekstu, który powinno być bezpieczne. Jest to zwykle ze względu na komputerze zdalnym zmienia jego zasady IPsec bez poinformowania o tym komputerze. Może to być również fałszowaniem prób ataku.
4965N/DŚredniProtokół IPsec odebrał pakiet z komputera zdalnego z nieprawidłowy parametr indeksu SPI (Security). Zazwyczaj jest to spowodowane przez nieprawidłowe działanie sprzętu, który jest uszkodzenia pakietów. Jeśli te błędy nadal występuje, sprawdź, czy pakiety wysyłane z komputera zdalnego są takie same jak odbieranego przez ten komputer. Ten błąd może również wskazywać problemy współdziałanie z innymi implementacjami protokołu IPsec. W takim przypadku jeśli połączenie nie jest utrudnione, następnie tych zdarzeń, można zignorować.
4976N/DŚredniPodczas negocjacji w trybie głównym IPsec odebrał pakiet negocjowania nieprawidłowy. Jeśli ten problem będzie się powtarzał, może to wskazywać problem z siecią lub próba do modyfikowania lub powtarzania negocjacja.
4977N/DŚredniPodczas negocjacji w trybie szybkim IPsec odebrał pakiet negocjowania nieprawidłowy. Jeśli ten problem będzie się powtarzał, może to wskazywać problem z siecią lub próba do modyfikowania lub powtarzania negocjacja.
4978N/DŚredniPodczas negocjacji w trybie rozszerzonym IPsec odebrał pakiet negocjowania nieprawidłowy. Jeśli ten problem będzie się powtarzał, może to wskazywać problem z siecią lub próba do modyfikowania lub powtarzania negocjacja.
4983N/DŚredniNegocjowanie trybu rozszerzonego protokołu IPsec nie powiodło się. Usunięto odpowiedniego skojarzenia zabezpieczeń trybu głównego.
4984N/DŚredniNegocjowanie trybu rozszerzonego protokołu IPsec nie powiodło się. Usunięto odpowiedniego skojarzenia zabezpieczeń trybu głównego.
5027N/DŚredniUsługa Zapora systemu Windows nie może pobrać zasad zabezpieczeń z magazynu lokalnego. Usługa będzie nadal wymuszać bieżące zasady.
5028N/DŚredniUsługa Zapora systemu Windows nie może przeanalizować nowych zasad zabezpieczeń. Usługa będzie nadal wymuszać bieżące zasady.
5029N/DŚredniUsługa Zapora systemu Windows nie może zainicjować sterownika. Usługa będzie nadal wymuszać bieżące zasady.
5030N/DŚredniNie można uruchomić usługi Zapora systemu Windows.
5035N/DŚredniSterownik Zapory systemu Windows nie powiodło się.
5037N/DŚredniSterownik Zapory systemu Windows wykrył błąd krytyczny w czasie wykonywania. Zakończenie działania.
5038N/DŚredniIntegralność kodu określana skrótu obrazu pliku nie jest prawidłowy. Plik może być uszkodzony z powodu nieautoryzowanego modyfikacji lub nieprawidłowy skrót może wskazywać potencjalnych błędów urządzenia dysku.
5120N/DŚredniUsługa obiektu odpowiadającego protokołu OCSP została uruchomiona
5121N/DŚredniUsługa obiektu odpowiadającego protokołu OCSP została zatrzymana
5122N/DŚredniWpis konfiguracyjny zmienione w Usługa obiektu odpowiadającego protokołu OCSP
5123N/DŚredniWpis konfiguracyjny zmienione w Usługa obiektu odpowiadającego protokołu OCSP
5376N/DŚredniMenedżer poświadczeń poświadczenia kopie zapasowe.
5377N/DŚredniMenedżer poświadczeń poświadczenia zostały przywrócone z kopii zapasowej.
5453N/DŚredniNegocjowanie protokołu IPsec z komputerem zdalnym nie powiodło się, ponieważ nie jest uruchomiona usługa IKE i AuthIP IPsec klucza modułów (IKEEXT).
5480N/DŚredniUsługi IPsec nie mogą uzyskać pełnej listy interfejsów sieciowych komputera. Stanowi to potencjalne zagrożenie bezpieczeństwa, ponieważ niektóre interfejsy sieciowe nie mogą uzyskać zapewniany przez stosowane filtry IPsec. Użyj przystawki Monitor zabezpieczeń IP, aby zdiagnozować problem.
5483N/DŚredniUsługi IPsec nie można zainicjować serwera RPC. Nie można uruchomić usługi IPsec.
5484N/DŚredniUsługi IPsec napotkał błąd krytyczny i został zamknięty. Wyłączenie usług IPsec może narazić komputer na większe ryzyko ataków sieciowych lub narazić komputer na zagrożenia bezpieczeństwa.
5485N/DŚredniUsługi IPsec nie mogą przetworzyć niektórych filtrów IPsec w zdarzeniu plug-and-play dla interfejsów sieciowych. Stanowi to potencjalne zagrożenie bezpieczeństwa, ponieważ niektóre interfejsy sieciowe nie mogą uzyskać zapewniany przez stosowane filtry IPsec. Użyj przystawki Monitor zabezpieczeń IP, aby zdiagnozować problem.
6145N/DŚredniCo najmniej jeden błąd wystąpił podczas przetwarzania zasad zabezpieczeń w obiektach zasad grupy.
6273N/DŚredniSerwer zasad sieciowych odmowa dostępu dla użytkownika.
6274N/DŚredniSerwer zasad sieciowych odrzucone żądania użytkownika.
6275N/DŚredniSerwer zasad sieciowych odrzucone żądania ewidencjonowania aktywności dla użytkownika.
6276N/DŚredniSerwer zasad sieciowych kwarantannie użytkownika.
6277N/DŚredniSerwer zasad sieciowych uzyskuje dostęp do użytkownika, ale umieścić na okresie próbnym, ponieważ host nie spełnia warunków zasad dotyczących kondycji zdefiniowane.
6278N/DŚredniSerwer zasad sieciowych udzielić pełny dostęp do użytkownika, ponieważ host spełnione zdefiniowane zasady.
6279N/DŚredniSerwer zasad sieciowych zablokowana z powodu wielokrotnych nieudanych prób uwierzytelnienia konta użytkownika.
6280N/DŚredniSerwer zasad sieciowych odblokowania konta użytkownika.
-640ŚredniBazy danych konta ogólnego zmienione
-619ŚredniJakość usługi zmiana zasad
24586N/DŚredniWystąpił błąd podczas konwertowania woluminu
24592N/DŚredniPróba automatycznego ponownego uruchomienia konwersji woluminu %2 nie powiodła się.
24593N/DŚredniZapis metadanych: woluminu %2 zwracanie błędów podczas próby modyfikowania metadanych. Jeśli nadal błędów, odszyfrować wolumin
24594N/DŚredniOdbudowywanie metadanych: próba zapisania kopii metadanych w woluminie %2 nie powiodła się i może być wyświetlana jako dysk jest uszkodzony. Jeśli nadal błędów, odszyfrować wolumin.
4608512NiskiUruchamianie systemu Windows.
4609513NiskiZamykanie systemu Windows.
4610514NiskiPakiet uwierzytelnień został załadowany przez urzędu zabezpieczeń lokalnych.
4611515NiskiProces logowania zaufanego został zarejestrowany z urzędu zabezpieczeń lokalnych.
4612516NiskiWewnętrzne zasoby przydzielone dla usługi kolejkowania wiadomości inspekcji wyczerpaną, co prowadzi do utraty danych niektóre inspekcji.
4614518NiskiPakiet powiadamiania został załadowany przez Menedżera kont zabezpieczeń.
4615519NiskiNieprawidłowe użycie portu LPC.
4616520NiskiCzas systemowy został zmieniony.
4622N/DNiskiPakiet zabezpieczeń został załadowany przez urzędu zabezpieczeń lokalnych.
4624528,540NiskiKonto zostało pomyślnie zalogowany.
4625529-537,539NiskiKonta nie może się zalogować.
4634538NiskiKonto zostało wylogowania.
4646N/DNiskiTryb zapobiegania atakom typu IKE uruchomiony.
4647551NiskiUżytkownik zainicjował wylogowania.
4648552NiskiPróbowano zalogować przy użyciu jawne poświadczenia.
4650N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec zostało ustanowione. Tryb rozszerzony nie został włączony. Uwierzytelnianie certyfikatu nie została użyta.
4651N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec zostało ustanowione. Tryb rozszerzony nie został włączony. Certyfikat był używany do uwierzytelniania.
4652N/DNiskiNegocjowanie tryb główny protokołu IPsec nie powiodło się.
4653N/DNiskiNegocjowanie tryb główny protokołu IPsec nie powiodło się.
4654N/DNiskiNegocjowanie trybu szybkiego protokołu IPsec nie powiodło się.
4655N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec jest niedostępna.
4656560NiskiZażądano dojścia do obiektu.
4657567NiskiWartość rejestru został zmodyfikowany.
4658562NiskiZamknięto dojścia do obiektu.
4659N/DNiskiZażądano dojścia do obiektu z zamiarem usunięcia.
4660564NiskiObiekt został usunięty.
4661565NiskiZażądano dojścia do obiektu.
4662566NiskiOperacja została wykonana na obiekt.
4663567NiskiNastąpiła próba dostępu do obiektu.
4664N/DNiskiAby utworzyć łącze stałe nastąpiła próba.
4665N/DNiskiAby utworzyć kontekst klienta aplikacji nastąpiła próba.
4666N/DNiskiAplikacja próbował wykonać operację:
4667N/DNiskiKontekst klienta aplikacji został usunięty.
4668N/DNiskiAplikacja została zainicjowana.
4670N/DNiskiUprawnienia obiektu zostały zmienione.
4671N/DNiskiPróba uzyskania dostępu za pośrednictwem Usługa TBS. zablokowanych porządkowych do aplikacji
4672576NiskiSpecjalne przywileje przypisane dla nowego logowania.
4673577NiskiUsługa uprzywilejowanych została wywołana.
4674578NiskiPróbowano w obiekcie uprzywilejowanych.
4688592NiskiNowy proces został utworzony.
4689593NiskiProces został zakończony.
4690594NiskiNastąpiła próba Duplikowanie dojścia do obiektu.
4691595NiskiZażądano pośredniego dostępu do obiektu.
4694N/DNiskiPodjęto próbę ochrony podlegającą inspekcji chronionych danych.
4695N/DNiskiPodjęto próbę unprotection podlegającą inspekcji chronionych danych.
4696600NiskiToken podstawowy został przypisany do przetworzenia.
4697601NiskiPróba instalacji usługi
4698602NiskiZaplanowane zadanie zostało utworzone.
4699602NiskiZaplanowane zadanie zostało usunięte.
4700602NiskiZaplanowane zadanie zostało włączone.
4701602NiskiZaplanowane zadanie zostało wyłączone.
4702602NiskiZaktualizowano zaplanowanego zadania.
4704608NiskiPrawa użytkownika został przypisany.
4705609NiskiPrawa użytkownika zostało usunięte.
4707611NiskiUsunięto relacji zaufania z domeną.
4709N/DNiskiUruchomienia usługi IPsec.
4710N/DNiskiUsługi IPsec zostało wyłączone.
4711N/DNiskiMoże zawierać jeden z następujących czynności: Aparat PAStore stosowane lokalnie kopii zasady IPsec magazynu usługi Active Directory na komputerze. Aparat PAStore stosowane zasady IPsec magazynu usługi Active Directory na komputerze. Aparat PAStore stosowane zasady IPsec magazynu lokalnego rejestru na komputerze. Aparat PAStore nie może zastosować na komputerze lokalnie buforowanej kopii zasady IPsec magazynu usługi Active Directory. Aparat PAStore nie może zastosować zasady IPsec magazynu usługi Active Directory na komputerze. Aparat PAStore nie może zastosować zasady IPsec magazynu lokalnego rejestru na komputerze. Aparat PAStore nie może zastosować na komputerze części reguł aktywnej zasady IPsec. Aparat PAStore nie może załadować katalogu magazynu zasad protokołu IPsec na komputerze. Aparat PAStore ładowany katalogu magazynu zasad protokołu IPsec na komputerze. Aparat PAStore nie może załadować lokalnego magazynu zasad protokołu IPsec na komputerze. Aparat PAStore załadować lokalnego magazynu zasad protokołu IPsec na komputerze. Aparat PAStore w wyniku sondowania aktywnych zasad IPsec i nie wykrył żadnych zmian.
4712N/DNiskiUsługi IPsec napotkały potencjalnie poważny błąd.
4717621NiskiUzyskał systemu zabezpieczeń dostępu do konta.
4718622NiskiDostęp do systemu zabezpieczeń został usunięty z konta.
4720624NiskiKonto użytkownika zostało utworzone.
4722626NiskiKonto użytkownika zostało włączone.
4723627NiskiNastąpiła próba zmiany hasła konta.
4725629NiskiKonto użytkownika zostało wyłączone.
4726630NiskiKonto użytkownika zostało usunięte.
4728632NiskiGrupę globalną z włączonymi zabezpieczeniami dodano członka.
4729633NiskiCzłonek został usunięty z grupę globalną z włączonymi zabezpieczeniami.
4730634NiskiUsunięto grupę globalną z włączonymi zabezpieczeniami.
4731635NiskiUtworzono grupę lokalną z włączonymi zabezpieczeniami.
4732636NiskiDodano członka do grupy lokalnej z włączonymi zabezpieczeniami.
4733637NiskiCzłonek został usunięty z włączonymi zabezpieczeniami grupy lokalnej.
4734638NiskiUsunięto zabezpieczonej grupy lokalnej.
4738642NiskiKonto użytkownika zostało zmienione.
4740644NiskiKonto użytkownika zostało zablokowane.
4741645NiskiKonto komputera zostało zmienione.
4742646NiskiKonto komputera zostało zmienione.
4743647NiskiKonto komputera został usunięty.
4744648NiskiUtworzono wyłączone zabezpieczeń grupy lokalnej.
4745649NiskiZmieniono wyłączone zabezpieczeń grupy lokalnej.
4746650NiskiCzłonek został dodany do lokalnej grupy zabezpieczeń wyłączone.
4747651NiskiCzłonek zostało usunięte z lokalnej grupy zabezpieczeń wyłączone.
4748652NiskiUsunięto wyłączone zabezpieczeń grupy lokalnej.
4749653NiskiGrupę globalną z wyłączonymi zabezpieczeń został utworzony.
4750654NiskiGlobalna grupa zabezpieczeń wyłączone zostało zmienione.
4751655NiskiCzłonek został dodany do globalna grupa zabezpieczeń wyłączone.
4752656NiskiCzłonek został usunięty z globalna grupa zabezpieczeń wyłączone.
4753657NiskiGlobalna grupa zabezpieczeń wyłączone został usunięty.
4756660NiskiDodano członka grupy uniwersalnej z włączonymi zabezpieczeniami.
4757661NiskiCzłonek został usunięty z grupy uniwersalnej z włączonymi zabezpieczeniami.
4758662NiskiUsunięto grupę uniwersalną z włączonymi zabezpieczeniami.
4759663NiskiGrup uniwersalnych wyłączone zabezpieczeń został utworzony.
4760664NiskiGrup uniwersalnych wyłączonymi zostało zmienione.
4761665NiskiDodano członka grupy uniwersalnej z wyłączonymi zabezpieczeniami.
4762666NiskiCzłonek został usunięty z wyłączonymi grup uniwersalnych.
4767671NiskiKonto użytkownika zostało odblokowane.
4768672,676NiskiZażądano biletu uwierzytelniania Kerberos (TGT).
4769673NiskiZażądano bilet usługi protokołu Kerberos.
4770674NiskiBilet usługi protokołu Kerberos został odnowiony.
4771675NiskiWstępnego uwierzytelniania Kerberos nie powiodło się.
4772672NiskiŻądanie biletu uwierzytelniania Kerberos nie powiodło się.
4774678NiskiKonta został zamapowany do logowania.
4775679NiskiNie można zmapować konta do logowania.
4776680,681NiskiKontroler domeny próby sprawdzenia poświadczeń dla konta.
4777N/DNiskiKontroler domeny nie powiodło się sprawdzanie poprawności poświadczeń dla konta.
4778682NiskiSesja została ponownie podłączane do stacji.
4779683NiskiSesja był odłączony od stacji.
4781685NiskiNazwa konta została zmieniona:
4782N/DNiskiWartość skrótu hasła konta uzyskano dostęp.
4783667NiskiPodstawowa grupa aplikacji został utworzony.
4784N/DNiskiPodstawowa grupa aplikacji zostało zmienione.
4785689NiskiDodano członka do grupy podstawowe aplikacji.
4786690NiskiCzłonek został usunięty z podstawowa grupa aplikacji.
4787691NiskiNie przynależącego została dodana do grupy podstawowe aplikacji.
4788692NiskiNie przynależącego zostało usunięte z grupy podstawowe aplikacji.
4789693NiskiGrupa aplikacji podstawowych została usunięta.
4790694NiskiGrupa zapytań LDAP została utworzona.
4793N/DNiskiInterfejsu API sprawdzanie zasad haseł została wywołana.
4800N/DNiskiStacja robocza został zablokowany.
4801N/DNiskiStacja robocza została odblokowana.
4802N/DNiskiZostało wywołane wygaszacza ekranu.
4803N/DNiskiWygaszacz ekranu został zwolniony.
4864N/DNiskiWykryto kolizji nazw.
4869773NiskiUsługi certyfikatów otrzymały ponownie przesłane żądanie certyfikatu.
4871775NiskiUsługi certyfikatów otrzymały żądanie opublikowania listy odwołania certyfikatów (CRL).
4872776NiskiUsługi certyfikatów opublikowały listę odwołania certyfikatów (CRL).
4873777NiskiRozszerzenie żądania certyfikatu zostało zmienione.
4874778NiskiCo najmniej jeden atrybut żądania certyfikatu został zmieniony.
4875779NiskiUsługi certyfikatów otrzymały żądanie zamknięcia.
4876780NiskiUruchomić wykonywanie kopii zapasowej usług certyfikatów.
4877781NiskiCertyfikat usługi wykonano kopię zapasową.
4878782NiskiPrzywracanie usług certyfikatów zostało rozpoczęte.
4879783NiskiPrzywracanie usług certyfikatów ukończone.
4880784NiskiUsługi certyfikatów zostały uruchomione.
4881785NiskiUsługi certyfikatów zostały zatrzymane.
4883787NiskiUsługi certyfikatów pobrały zarchiwizowany klucz.
4884788NiskiUsługi certyfikatów zaimportowały certyfikat do swojej bazy danych.
4886790NiskiUsługi certyfikatów otrzymały żądanie certyfikatu.
4887791NiskiUsługi certyfikatów zatwierdziły żądanie certyfikatu i wystawiły certyfikat.
4888792NiskiUsługi certyfikatów odrzuciły żądanie certyfikatu.
4889793NiskiUsługi certyfikatów ustawić stan żądania certyfikatu na oczekujące.
4891795NiskiWpis konfiguracyjny w usługach certyfikatów został zmieniony.
4893797NiskiUsługi certyfikatów zarchiwizowały klucz.
4894798NiskiUsługi certyfikatów zaimportowały i zarchiwizowały klucz.
4895799NiskiUsługi certyfikatów opublikowały certyfikat urzędu certyfikacji do usług domenowych w usłudze Active Directory.
4898802NiskiUsługi certyfikatów załadowały szablon.
4902N/DNiskiTabela zasad inspekcji na użytkownika został utworzony.
4904N/DNiskiNastąpiła próba zarejestrowania źródłem zdarzeń zabezpieczeń.
4905N/DNiskiNastąpiła próba wyrejestrować źródłem zdarzeń zabezpieczeń.
4909N/DNiskiUstawienia zasad lokalnych TBS zostały zmienione.
4910N/DNiskiUstawienia zasad grupy dla usługi TBS zostały zmienione.
4928N/DNiskiŹródło repliki usługi Active Directory dla kontekstu nazewnictwa zostało ustanowione.
4929N/DNiskiŹródło repliki usługi Active Directory dla kontekstu nazewnictwa został usunięty.
4930N/DNiskiŹródło repliki usługi Active Directory dla kontekstu nazewnictwa został zmodyfikowany.
4931N/DNiskiDocelowy repliki usługi Active Directory dla kontekstu nazewnictwa został zmodyfikowany.
4932N/DNiskiSynchronizacja repliki usługi Active Directory kontekstu nazewnictwa zostało uruchomione.
4933N/DNiskiSynchronizacja replik kontekstu nazewnictwa usługi Active Directory została zakończona.
4934N/DNiskiAtrybuty obiektu usługi Active Directory zostały zreplikowane.
4935N/DNiskiBłąd replikacji rozpoczyna się.
4936N/DNiskiBłąd replikacji kończy się.
4937N/DNiskiObiekt pokutujący został usunięty z repliką.
4944N/DNiskiNastępujące zasady była aktywna, gdy Zapora systemu Windows jest uruchomiona.
4945N/DNiskiReguły został wymieniony podczas uruchamiania Zapory systemu Windows.
4946N/DNiskiZmiany zostały wprowadzone, do listy wyjątków Zapory systemu Windows. Reguła została dodana.
4947N/DNiskiZmiany zostały wprowadzone, do listy wyjątków Zapory systemu Windows. Reguły został zmodyfikowany.
4948N/DNiskiZmiany zostały wprowadzone, do listy wyjątków Zapory systemu Windows. Reguła została usunięta.
4949N/DNiskiUstawienia zapory systemu Windows zostały przywrócone do wartości domyślnych.
4950N/DNiskiUstawienia zapory systemu Windows została zmieniona.
4951N/DNiskiReguły został zignorowany, ponieważ jego numer wersji głównej nie został rozpoznany przez zaporę systemu Windows.
4952N/DNiskiCzęści reguły zostały zignorowane, ponieważ jego numer wersji pomocniczej nie został rozpoznany przez zaporę systemu Windows. Inne części reguła będzie wymuszane.
4953N/DNiskiReguła zostało zignorowane przez zaporę systemu Windows, ponieważ nie można przeanalizować reguły.
4954N/DNiskiUstawienia zasad grupy Zapory systemu Windows zostały zmienione. Nowe ustawienia zostały zastosowane.
4956N/DNiskiZapora systemu Windows została zmieniona aktywnego profilu.
4957N/DNiskiZapora systemu Windows nie zostało zastosowane następującą regułę:
4958N/DNiskiZapora systemu Windows nie zostało zastosowane następujące reguły, ponieważ reguła określonych elementów, które nie są skonfigurowane na tym komputerze:
4979N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec i trybie rozszerzonym zostały określone.
4980N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec i trybie rozszerzonym zostały określone.
4981N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec i trybie rozszerzonym zostały określone.
4982N/DNiskiSkojarzenia zabezpieczeń trybu głównego protokołu IPsec i trybie rozszerzonym zostały określone.
4985N/DNiskiStan transakcji została zmieniona.
5024N/DNiskiUsługa Zapora systemu Windows została pomyślnie uruchomiona.
5025N/DNiskiUsługa Zapora systemu Windows została zatrzymana.
5031N/DNiskiUsługa Zapora systemu Windows zablokowane aplikacji akceptowanie połączeń przychodzących w sieci.
5032N/DNiskiZapora systemu Windows nie może powiadomić użytkownika, że jest on zablokowany aplikacji akceptowanie połączeń przychodzących w sieci.
5033N/DNiskiSterownik Zapory systemu Windows została pomyślnie uruchomiona.
5034N/DNiskiSterownik Zapory systemu Windows została zatrzymana.
5039N/DNiskiKlucz rejestru został wirtualizacji.
5040N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Uwierzytelnianie ustawiona została dodana.
5041N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Uwierzytelnianie ustawić został zmodyfikowany.
5042N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Uwierzytelnianie ustawić został usunięty.
5043N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Dodano reguły zabezpieczeń połączeń.
5044N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Reguły zabezpieczeń połączeń został zmodyfikowany.
5045N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Reguły zabezpieczeń połączeń został usunięty.
5046N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Dodano zestawu kryptograficznego.
5047N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Zestawu kryptograficznego został zmodyfikowany.
5048N/DNiskiZmiany zostały wprowadzone, ustawienia protokołu IPsec. Usunięto zestawu kryptograficznego.
5050N/DNiskiPróba programowo wyłączyć Zaporę systemu Windows przy użyciu połączenia z InetFwProfile.FirewallEnabled(False)
5051N/DNiskiPlik został wirtualizacji.
5056N/DNiskiWykonano kryptograficznych procedury testowej.
5057N/DNiskiPierwotny operacji kryptograficznej nie powiodło się.
5058N/DNiskiOperacja plik klucza.
5059N/DNiskiOperacja migracji klucza.
5060N/DNiskiWeryfikacja operacja nie powiodła się.
5061N/DNiskiOperacje kryptograficzne.
5062N/DNiskiTryb jądra kryptograficznych self test została wykonana.
5063N/DNiskiPodjęto próbę operacji dostawcy usług kryptograficznych.
5064N/DNiskiPodjęto próbę operacji kontekstu kryptograficznego.
5065N/DNiskiPodjęto próbę zmiany kontekstu kryptograficznego.
5066N/DNiskiPodjęto próbę operacji kryptograficznych funkcji.
5067N/DNiskiPodjęto próbę modyfikacji funkcji kryptograficznych.
5068N/DNiskiPodjęto operacji dostawcy usług kryptograficznych funkcji.
5069N/DNiskiPodjęto próbę operacji właściwości funkcji kryptograficznych.
5070N/DNiskiPodjęto próbę zmiany właściwości funkcji kryptograficznych.
5125N/DNiskiPrzesłano żądanie do usługi Obiekt odpowiadający protokołu OCSP
5126N/DNiskiCertyfikat podpisywania został zaktualizowany automatycznie przez usługę obiektu odpowiadającego protokołu OCSP
5127N/DNiskiDostawcy protokołu OCSP odwołania pomyślnie zaktualizowane informacje odwołania
5136566NiskiObiekt usługi katalogowej został zmodyfikowany.
5137566NiskiObiekt usługi katalogowej został utworzony.
5138N/DNiskiObiekt usługi katalogowej został cofnięte.
5139N/DNiskiObiekt usługi katalogowej został przeniesiony.
5140N/DNiskiUzyskano dostęp do obiektu udziału sieciowego.
5141N/DNiskiObiekt usługi katalogowej został usunięty.
5152N/DNiskiPlatforma filtrowania systemu Windows zablokowane pakiet.
5153N/DNiskiBardziej restrykcyjne filtru platformy filtrowania systemu Windows zablokowała pakiet.
5154N/DNiskiPlatforma filtrowania systemu Windows ma uprawnienia aplikacji lub usługi do nasłuchiwania na porcie dla przychodzących połączeń.
5155N/DNiskiPlatforma filtrowania systemu Windows zablokowała aplikacji lub usługi z nasłuchuje na porcie dla połączeń przychodzących.
5156N/DNiskiPlatforma filtrowania systemu Windows ma dozwolone połączenia.
5157N/DNiskiPlatforma filtrowania systemu Windows zostało zablokowane połączenia.
5158N/DNiskiPlatforma filtrowania systemu Windows zezwala wiązania do portu lokalnego.
5159N/DNiskiPlatforma filtrowania systemu Windows zablokowała wiązania do portu lokalnego.
5378N/DNiskiDelegowanie poświadczeń żądana jest zabronione przez zasady.
5440N/DNiskiObjaśnienie następujące znajdowała się podczas uruchamiania systemu Windows filtrowanie platformy podstawowy aparat filtrowania.
5441N/DNiskiNastępujący filtr był obecny, podczas uruchamiania systemu Windows filtrowanie platformy podstawowy aparat filtrowania.
5442N/DNiskiNastępujących dostawców znajdowała się podczas uruchamiania systemu Windows filtrowanie platformy podstawowy aparat filtrowania.
5443N/DNiskiNastępujące kontekst dostawcy znajdowała się podczas uruchamiania systemu Windows filtrowanie platformy podstawowy aparat filtrowania.
5444N/DNiskiNastępujące podwarstwy znajdowała się podczas uruchamiania systemu Windows filtrowanie platformy podstawowy aparat filtrowania.
5446N/DNiskiObjaśnienie platformy filtrowania systemu Windows zostało zmienione.
5447N/DNiskiFiltr platformy filtrowania systemu Windows zostało zmienione.
5448N/DNiskiDostawcy platformy filtrowania systemu Windows zostało zmienione.
5449N/DNiskiKontekst dostawcy platformy filtrowania systemu Windows zostało zmienione.
5450N/DNiskiPodwarstwa platformy filtrowania systemu Windows zostało zmienione.
5451N/DNiskiSkojarzenia zabezpieczeń trybu szybkiego protokołu IPsec zostało ustanowione.
5452N/DNiskiSkojarzenia zabezpieczeń trybu szybkiego protokołu IPsec jest niedostępna.
5456N/DNiskiAparat PAStore stosowane zasady IPsec magazynu usługi Active Directory na komputerze.
5457N/DNiskiAparat PAStore nie może zastosować zasady IPsec magazynu usługi Active Directory na komputerze.
5458N/DNiskiAparat PAStore stosowane lokalnie kopii zasady IPsec magazynu usługi Active Directory na komputerze.
5459N/DNiskiAparat PAStore nie może zastosować na komputerze lokalnie buforowanej kopii zasady IPsec magazynu usługi Active Directory.
5460N/DNiskiAparat PAStore stosowane zasady IPsec magazynu lokalnego rejestru na komputerze.
5461N/DNiskiAparat PAStore nie może zastosować zasady IPsec magazynu lokalnego rejestru na komputerze.
5462N/DNiskiAparat PAStore nie może zastosować na komputerze części reguł aktywnej zasady IPsec. Użyj przystawki Monitor zabezpieczeń IP, aby zdiagnozować problem.
5463N/DNiskiAparat PAStore w wyniku sondowania aktywnych zasad IPsec i nie wykrył żadnych zmian.
5464N/DNiskiAparat PAStore sondowania aktywnych zasad IPsec wykrył zmiany i zastosować je do usług IPsec.
5465N/DNiskiAparat PAStore odebrał formant dla wymuszenia ponownego ładowania zasad IPsec i pomyślnie przetworzone kontroli.
5466N/DNiskiAparat PAStore sondowania zmian zasad IPsec usługi Active Directory, określone usługi Active Directory nie można połączyć, a zamiast tego użyje kopii buforowanej zasad IPsec usługi Active Directory. Wszelkie zmiany wprowadzone do zasad IPsec usługi Active Directory, ponieważ nie można zastosować ostatniego sondowania.
5467N/DNiskiAparat PAStore sondowania zmian zasad IPsec usługi Active Directory, określić, że usługi Active Directory może się i znalezione nie zmiany w zasadach. Kopia buforowana zasad IPsec usługi Active Directory nie jest używana.
5468N/DNiskiAparat PAStore sondowania zmian zasad IPsec usługi Active Directory, że usługi Active Directory można połączyć się z, znaleziono zmiany zasady i zastosować te zmiany. Kopia buforowana zasad IPsec usługi Active Directory nie jest używana.
5471N/DNiskiAparat PAStore załadować lokalnego magazynu zasad protokołu IPsec na komputerze.
5472N/DNiskiAparat PAStore nie może załadować lokalnego magazynu zasad protokołu IPsec na komputerze.
5473N/DNiskiAparat PAStore ładowany katalogu magazynu zasad protokołu IPsec na komputerze.
5474N/DNiskiAparat PAStore nie może załadować katalogu magazynu zasad protokołu IPsec na komputerze.
5477N/DNiskiAparat PAStore nie można dodać filtru trybu szybkiego.
5479N/DNiskiUsługi IPsec został zamknięty pomyślnie. Wyłączenie usług IPsec może narazić komputer na większe ryzyko ataków sieciowych lub narazić komputer na zagrożenia bezpieczeństwa.
5632N/DNiskiŻądanie było skierowane do uwierzytelniania sieci bezprzewodowej.
5633N/DNiskiŻądanie uwierzytelniania do sieci przewodowej.
5712N/DNiskiPodjęto próbę zdalnego wywoływania procedury (RPC).
5888N/DNiskiModyfikacji obiektu w katalogu modelu COM +.
5889N/DNiskiObiekt został usunięty z katalogu modelu COM +.
5890N/DNiskiObiekt został dodany do katalogu modelu COM +.
6008N/DNiskiOczekiwano poprzednie zamknięcie systemu
6144N/DNiskiZasady zabezpieczeń w obiektach zasad grupy zostały pomyślnie zastosowane.
6272N/DNiskiSerwer zasad sieciowych uzyskuje dostęp do użytkownika.
N/D561NiskiZażądano dojścia do obiektu.
N/D563NiskiOtwórz obiekt do usunięcia
N/D625NiskiZmieniono typ konta użytkownika
N/D613NiskiUruchomiono agenta zasad IPsec
N/D614NiskiAgent zasad IPsec wyłączone
N/D615NiskiAgent zasad IPsec
N/D616NiskiAgent zasad IPsec napotkał potencjalny poważny błąd
24577N/DNiskiSzyfrowanie uruchomiono woluminu
24578N/DNiskiSzyfrowanie woluminu zatrzymana
24579N/DNiskiSzyfrowanie woluminu ukończone
24580N/DNiskiOdszyfrowywanie uruchomiono woluminu
24581N/DNiskiOdszyfrowywanie woluminu zatrzymana
24582N/DNiskiOdszyfrowywanie woluminu ukończone
24583N/DNiskiWątek roboczy konwersji dla uruchomiono woluminu
24584N/DNiskiWątek roboczy konwersji dla woluminu tymczasowo zatrzymana.
24588N/DNiskiOperacja konwersji na woluminie %2 napotkała błąd uszkodzonych sektorów. Sprawdź poprawność danych na tym woluminie
24595N/DNiskiWolumin %2 zawiera uszkodzone klastry. Te klastry zostaną pominięte podczas konwersji.
24621N/DNiskiSprawdzanie stanu początkowego: wycofywanie transakcji konwersji woluminu na komputerze %2.
5049N/DNiskiUsunięto skojarzeń zabezpieczeń IPsec.
5478N/DNiskiPomyślnie uruchomiono usługi IPsec.
Uwaga

Odnoszą się do artykułu Support 947226 list wielu identyfikatorów zdarzeń zabezpieczeń i ich znaczenie.

Uruchom wevtutil Microsoft-Windows-inspekcja zabezpieczeń zasad grupy /ge /gm: true uzyskać bardzo szczegółową listę wszystkich zabezpieczeń identyfikatory zdarzeń

Aby uzyskać więcej informacji na temat identyfikatorów zdarzeń zabezpieczeń systemu Windows i ich znaczenie, zobacz artykuły Microsoft Support opis zdarzeń zabezpieczeń w systemie Windows Vista i Windows Server 2008 i opis zdarzeń zabezpieczeń w systemie Windows 7 i Windows Server 2008 R2. Można również pobrać zabezpieczeń inspekcji zdarzeń w systemie Windows 7 i Windows Server 2008 R2 i systemu Windows 8 i szczegóły zdarzeń zabezpieczeń systemu Windows Server 2012, które zapewniają szczegółowe informacje zdarzeń występujących w odwołaniu systemów operacyjnych w formacie arkusza kalkulacyjnego.

© 2017 Microsoft