附錄 L:要監視的事件
適用於:Windows Server 2022、Windows Server 2019、Windows Server
下表列出您應該在環境中監視的事件,根據監視 Active Directory 遭到危害的徵兆所提供的建議。 在下表中,[目前的 Windows 事件識別碼] 資料行列出事件識別碼,因為它是在目前處於主流支援的 Windows 和 Windows Server 版本中實作。
[舊版 Windows 事件識別碼] 資料行會列出舊版 Windows 中的對應事件識別碼,例如執行 Windows XP 或更早版本的用戶端電腦,以及執行 Windows Server 2003 或更早版本的伺服器。 [潛在危險程度] 欄位識別事件在偵測攻擊中應該被視為低、中或高危險程度。而 [事件摘要] 欄位提供事件的簡短描述。
高潛在危險程度表示應該調查事件的其中一個發生次數。 中或低潛在危險程度表示只有在事件非預期地發生,或次數大幅超過測量時間期間的預期基準時,才調查事件。 所有組織應該在其環境中測試這些建議,再建立需要強制調查回應的警示。 每個環境都不同,部分具有高潛在危險程度排名的事件也可能會因為其他無害的事件而發生。
| 目前的 Windows 事件識別碼 | 舊版 Windows 事件識別碼 | 潛在危險程度 | 事件摘要 |
|---|---|---|---|
| 4618 | N/A | 高 | 已發生受監視的安全性事件模式。 |
| 4649 | N/A | 高 | 已偵測到重新執行攻擊。 可能是設定錯誤的錯誤所造成的無害誤判。 |
| 4719 | 612 | 高 | 系統稽核原則已變更。 |
| 4765 | N/A | 高 | SID 歷程記錄已新增至帳戶。 |
| 4766 | N/A | 高 | 嘗試將 SID 歷程記錄新增至帳戶失敗。 |
| 4794 | N/A | 高 | 嘗試設定目錄服務還原模式。 |
| 4897 | 801 | 高 | 已啟用角色分離: |
| 4964 | N/A | 高 | 特殊群組已指派給新的登入。 |
| 5124 | N/A | 高 | OCSP 回應者服務上已更新安全性設定 |
| N/A | 550 | 中到高 | 可能的拒絕服務 (DoS) 攻擊 |
| 1102 | 517 | 中到高 | 已清除稽核記錄 |
| 4621 | N/A | 中 | 系統管理員已從 CrashOnAuditFail 復原系統。 現在不允許非系統管理員的使用者登入。 某些可稽核的活動可能尚未記錄。 |
| 4675 | N/A | 中 | 已篩選 SID。 |
| 4692 | N/A | 中 | 已嘗試資料保護主要金鑰的備份。 |
| 4693 | N/A | 中 | 已嘗試資料保護主要金鑰的復原。 |
| 4706 | 610 | 中 | 已對網域建立新的信任。 |
| 4713 | 617 | 中 | Kerberos 原則已變更。 |
| 4714 | 618 | 中 | 加密的資料復原原則已變更。 |
| 4715 | N/A | 中 | 物件的稽核原則 (SACL) 已變更。 |
| 4716 | 620 | 中 | 已修改受信任的網域資訊。 |
| 4724 | 628 | 中 | 嘗試重設帳戶的密碼。 |
| 4727 | 631 | 中 | 已啟用安全性的全域群組已建立。 |
| 4735 | 639 | 中 | 已啟用安全性的本機群組已變更。 |
| 4737 | 641 | 中 | 已啟用安全性的全域群組已變更。 |
| 4739 | 643 | 中 | 網域原則已變更。 |
| 4754 | 658 | 中 | 已啟用安全性的通用群組已建立。 |
| 4755 | 659 | 中 | 已啟用安全性的通用群組已變更。 |
| 4764 | 667 | 中 | 已停用安全性的群組已刪除 |
| 4764 | 668 | 中 | 群組的類型已變更。 |
| 4780 | 684 | 中 | ACL 是在系統管理員群組成員的帳戶上設定的。 |
| 4816 | N/A | 中 | RPC 在解密傳入訊息時偵測到完整性違規。 |
| 4865 | N/A | 中 | 已新增受信任的樹系資訊項目。 |
| 4866 | N/A | 中 | 已移除受信任的樹系資訊項目。 |
| 4867 | N/A | 中 | 已修改受信任的樹系資訊項目。 |
| 4868 | 772 | 中 | 憑證管理員拒絕擱置的憑證要求。 |
| 4870 | 774 | 中 | 憑證服務已撤銷憑證。 |
| 4882 | 786 | 中 | 憑證服務的安全性權限已變更。 |
| 4885 | 789 | 中 | 憑證服務的稽核篩選器已變更。 |
| 4890 | 794 | 中 | 憑證服務的憑證管理員設定已變更。 |
| 4892 | 796 | 中 | 憑證服務的內容已變更。 |
| 4896 | 800 | 中 | 已從憑證資料庫刪除一或多個資料列。 |
| 4906 | N/A | 中 | CrashOnAuditFail 值已變更。 |
| 4907 | N/A | 中 | 物件的稽核設定已變更。 |
| 4908 | N/A | 中 | 已修改特殊群組登入資料表。 |
| 4912 | 807 | 中 | 已變更每個使用者稽核原則。 |
| 4960 | N/A | 中 | IPsec 已卸除完整性檢查失敗的輸入封包。 如果此問題持續發生,可能表示網路問題或封包正在傳輸至這部電腦時遭到修改。 確認從遠端電腦傳送的封包與這部電腦所接收的封包相同。 此錯誤也可能表示與其他 IPsec 實作的互通性問題。 |
| 4961 | N/A | 中 | IPsec 已卸除重新執行檢查失敗的輸入封包。 如果此問題持續發生,可能表示此電腦的重新執行攻擊。 |
| 4962 | N/A | 中 | IPsec 已卸除重新執行檢查失敗的輸入封包。 輸入封包的序號太低,無法確保它不是重新執行。 |
| 4963 | N/A | 中 | IPsec 已卸除應已保護的輸入純文字封包。 這通常是因為遠端電腦變更其 IPsec 原則而不通知這部電腦。 這也可能是詐騙攻擊嘗試。 |
| 4965 | N/A | 中 | IPsec 從具有不正確安全性參數索引 (SPI) 的遠端電腦收到封包。 這通常是因為損毀封包的硬體故障而造成。 如果這些錯誤持續發生,請確認從遠端電腦傳送的封包與這部電腦所接收的封包相同。 此錯誤也可能表示與其他 IPsec 實作的互通性問題。 在此情況下,如果連線不受阻礙,則可以忽略這些事件。 |
| 4976 | N/A | 中 | 在主要模式交涉期間,IPsec 收到不正確交涉封包。 如果此問題持續發生,可能表示網路問題或嘗試修改或重新執行此交涉。 |
| 4977 | N/A | 中 | 在快速模式交涉期間,IPsec 收到不正確交涉封包。 如果此問題持續發生,可能表示網路問題或嘗試修改或重新執行此交涉。 |
| 4978 | N/A | 中 | 在擴充模式交涉期間,IPsec 收到不正確交涉封包。 如果此問題持續發生,可能表示網路問題或嘗試修改或重新執行此交涉。 |
| 4983 | N/A | 中 | IPsec 擴充模式交涉失敗。 已刪除對應的主要模式安全性關聯。 |
| 4984 | N/A | 中 | IPsec 擴充模式交涉失敗。 已刪除對應的主要模式安全性關聯。 |
| 5027 | N/A | 中 | Windows 防火牆服務無法從本機儲存體擷取安全性原則。 服務會繼續執行目前的原則。 |
| 5028 | N/A | 中 | Windows 防火牆服務無法剖析新的安全性原則。 服務會繼續目前執行的原則。 |
| 5029 | N/A | 中 | Windows 防火牆服務無法初始化驅動程式。 服務會繼續執行目前的原則。 |
| 5030 | N/A | 中 | Windows 防火牆服務無法啟動。 |
| 5035 | N/A | 中 | Windows 防火牆驅動程式無法啟動。 |
| 5037 | N/A | 中 | Windows 防火牆驅動程式已偵測到重大執行階段錯誤。 正在結束。 |
| 5038 | N/A | 中 | 程式碼完整性判斷檔案的影像雜湊無效。 檔案可能會因為未經授權的修改而損毀,或不正確雜湊可能表示潛在的磁碟裝置錯誤。 |
| 5120 | N/A | 中 | OCSP 回應者服務已啟動 |
| 5121 | N/A | 中 | OCSP 回應者服務已停止 |
| 5122 | N/A | 中 | OCSP 回應者服務的設定項目已變更 |
| 5123 | N/A | 中 | OCSP 回應者服務的設定項目已變更 |
| 5376 | N/A | 中 | 已備份認證管理員認證。 |
| 5377 | N/A | 中 | 認證管理員認證已從備份還原。 |
| 5453 | N/A | 中 | 遠端電腦的 IPsec 交涉失敗,因為未啟動 IKE 和 AuthIP IPsec 金鑰處理模組 (IKEEXT) 服務。 |
| 5480 | N/A | 中 | IPsec 服務無法取得電腦上網路介面的完整清單。 這會造成潛在的安全性風險,因為某些網路介面可能無法取得所套用 IPsec 篩選所提供的保護。 使用 IP 安全性監視器嵌入式管理單元來診斷問題。 |
| 5483 | N/A | 中 | IPsec 服務無法初始化 RPC 伺服器。 IPsec 服務無法啟動。 |
| 5484 | N/A | 中 | IPsec 服務發生嚴重失敗,且已關閉。 IPsec 服務的關閉可能會使電腦面臨更大的網路攻擊風險,或讓電腦面臨潛在的安全性風險。 |
| 5485 | N/A | 中 | IPsec 服務無法在網路介面的隨插即用事件上處理某些 IPsec 篩選。 這會造成潛在的安全性風險,因為某些網路介面可能無法取得所套用 IPsec 篩選所提供的保護。 使用 IP 安全性監視器嵌入式管理單元來診斷問題。 |
| 5827 | N/A | 中 | Netlogon 服務已拒絕來自電腦帳戶的易受攻擊 Netlogon 安全通道連線。 |
| 5828 | N/A | 中 | Netlogon 服務已拒絕使用受信任帳戶的易受攻擊 Netlogon 安全通道連線。 |
| 6145 | N/A | 中 | 在群組原則物件中處理安全性原則時發生一或多個錯誤。 |
| 6273 | N/A | 中 | 網路原則伺服器拒絕使用者存取 |
| 6274 | N/A | 中 | 網路原則伺服器已捨棄使用者的要求。 |
| 6275 | N/A | 中 | 網路原則伺服器已捨棄使用者的計量要求。 |
| 6276 | N/A | 中 | 網路原則伺服器已隔離使用者。 |
| 6277 | N/A | 中 | 網路原則伺服器已授與使用者存取權,但將其置於探查中,因為主機不符合定義的健康原則。 |
| 6278 | N/A | 中 | 網路原則伺服器已授與使用者完整存取權,因為主機符合定義的健康原則。 |
| 6279 | N/A | 中 | 因為重複驗證嘗試失敗,網路原則伺服器已鎖定使用者帳戶。 |
| 6280 | N/A | 中 | 網路原則伺服器已將使用者帳戶解除鎖定。 |
| - | 640 | 中 | 一般帳戶資料庫已變更 |
| - | 619 | 中 | 服務品質原則已變更 |
| 24586 | N/A | 中 | 轉換磁碟區時發生錯誤 |
| 24592 | N/A | 中 | 嘗試在磁碟區 %2 上自動重新啟動轉換失敗。 |
| 24593 | N/A | 中 | 中繼資料寫入:嘗試修改中繼資料時,磁碟區 %2 傳回錯誤。 如果失敗繼續,請解密磁碟區 |
| 24594 | N/A | 中 | 中繼資料重建:嘗試在磁碟區 %2 上寫入中繼資料複本失敗,並可能顯示為磁碟損毀。 如果失敗繼續,請解密磁碟區。 |
| 4608 | 512 | 低 | Windows 正在啟動。 |
| 4609 | 513 | 低 | Windows 正在關機。 |
| 4610 | 514 | 低 | 本機安全性授權已載入驗證套件。 |
| 4611 | 515 | 低 | 受信任的登入程序已向本機安全性授權註冊。 |
| 4612 | 516 | 低 | 為稽核訊息佇列配置的內部資源已用盡,導致部分稽核遺失。 |
| 4614 | 518 | 低 | 安全性帳戶管理員已載入通知套件。 |
| 4615 | 519 | 低 | LPC 連接埠的使用無效。 |
| 4616 | 520 | 低 | 系統時間已變更。 |
| 4622 | N/A | 低 | 本機安全性授權已載入安全性套件。 |
| 4624 | 528,540 | 低 | 已成功登入帳戶。 |
| 4625 | 529-537,539 | 低 | 帳戶無法登入。 |
| 4634 | 538 | 低 | 帳戶已登出。 |
| 4646 | N/A | 低 | IKE DoS-prevention 模式已啟動。 |
| 4647 | 551 | 低 | 使用者已起始登出。 |
| 4648 | 552 | 低 | 嘗試使用明確認證登入。 |
| 4650 | N/A | 低 | 已建立 IPsec 主要模式安全性關聯。 未啟用擴充模式。 未使用憑證驗證。 |
| 4651 | N/A | 低 | 已建立 IPsec 主要模式安全性關聯。 未啟用擴充模式。 憑證已用於驗證。 |
| 4652 | N/A | 低 | IPsec 主要模式交涉失敗。 |
| 4653 | N/A | 低 | IPsec 主要模式交涉失敗。 |
| 4654 | N/A | 低 | IPsec 快速模式交涉失敗。 |
| 4655 | N/A | 低 | IPsec 主要模式安全性關聯已結束。 |
| 4656 | 560 | 低 | 已要求物件的控制碼。 |
| 4657 | 567 | 低 | 已修改登錄值。 |
| 4658 | 562 | 低 | 物件的控制碼已關閉。 |
| 4659 | N/A | 低 | 已要求物件控制碼,並意圖刪除。 |
| 4660 | 564 | 低 | 已刪除物件。 |
| 4661 | 565 | 低 | 已要求物件的控制碼。 |
| 4662 | 566 | 低 | 已針對物件執行作業。 |
| 4663 | 567 | 低 | 嘗試存取物件。 |
| 4664 | N/A | 低 | 嘗試建立永久連結。 |
| 4665 | N/A | 低 | 嘗試建立應用程式用戶端內容。 |
| 4666 | N/A | 低 | 應用程式嘗試作業: |
| 4667 | N/A | 低 | 已刪除應用程式用戶端內容。 |
| 4668 | N/A | 低 | 應用程式已初始化。 |
| 4670 | N/A | 低 | 物件的權限已變更。 |
| 4671 | N/A | 低 | 應用程式嘗試透過 TBS 存取封鎖的序數。 |
| 4672 | 576 | 低 | 特殊全線已指派給新的登入。 |
| 4673 | 577 | 低 | 已呼叫權限服務。 |
| 4674 | 578 | 低 | 在權限物件上嘗試作業。 |
| 4688 | 592 | 低 | 已建立新的處理序。 |
| 4689 | 593 | 低 | 處理序已結束。 |
| 4690 | 594 | 低 | 嘗試複製物件的控制碼。 |
| 4691 | 595 | 低 | 已要求間接存取物件。 |
| 4694 | N/A | 低 | 已嘗試保護可稽核的受保護資料。 |
| 4695 | N/A | 低 | 已嘗試取消保護可稽核的受保護資料。 |
| 4696 | 600 | 低 | 主要權杖已指派給處理序。 |
| 4697 | 601 | 低 | 嘗試安裝服務 |
| 4698 | 602 | 低 | 已建立排程的工作。 |
| 4699 | 602 | 低 | 已刪除排程的工作。 |
| 4700 | 602 | 低 | 已啟用排程的工作。 |
| 4701 | 602 | 低 | 已停用排程的工作。 |
| 4702 | 602 | 低 | 已更新排程的工作。 |
| 4704 | 608 | 低 | 已指派使用權利。 |
| 4705 | 609 | 低 | 已移除使用權利。 |
| 4707 | 611 | 低 | 已移除網域的信任。 |
| 4709 | N/A | 低 | IPsec 服務已啟動。 |
| 4710 | N/A | 低 | IPsec 服務已停用。 |
| 4711 | N/A | 低 | 可能包含下列任一項:PAStore Engine 在電腦上已套用 Active Directory 儲存體 IPsec 原則的本機快取副本。 PAStore Engine 在電腦上已套用 Active Directory 儲存體 IPsec 原則。 PAStore Engine 在電腦上已套用本機登錄儲存體 IPsec 原則。 PAStore Engine 無法在電腦上套用 Active Directory 儲存體 IPsec 原則的本機快取複本。 PAStore Engine 無法在電腦上套用 Active Directory 儲存體 IPsec 原則。 PAStore Engine 無法在電腦上套用本機登錄儲存體 IPsec 原則。 PAStore Engine 無法在電腦上套用使用中 IPsec 原則的某些規則。 PAStore Engine 無法在電腦上載入目錄儲存體 IPsec 原則。 PAStore Engine 在電腦上已載入目錄儲存體 IPsec 原則。 PAStore Engine 無法在電腦上載入本機儲存體 IPsec 原則。 PAStore Engine 在電腦上已載入本機儲存體 IPsec 原則。PAStore Engine 已輪詢作用中 IPsec 原則的變更,且未偵測到任何變更。 |
| 4712 | N/A | 低 | IPsec 服務發生潛在的嚴重失敗。 |
| 4717 | 621 | 低 | 系統安全性存取已授與帳戶。 |
| 4718 | 622 | 低 | 系統安全性存取已從帳戶中移除。 |
| 4720 | 624 | 低 | 已建立使用者帳戶。 |
| 4722 | 626 | 低 | 已啟用使用者帳戶。 |
| 4723 | 627 | 低 | 嘗試變更帳戶的密碼。 |
| 4725 | 629 | 低 | 使用者帳戶已停用。 |
| 4726 | 630 | 低 | 使用者帳戶已刪除。 |
| 4728 | 632 | 低 | 成員已新增至已啟用安全性的全域群組。 |
| 4729 | 633 | 低 | 成員已從已啟用安全性的全域群組中移除。 |
| 4730 | 634 | 低 | 已啟用安全性的全域群組已刪除。 |
| 4731 | 635 | 低 | 已啟用安全性的本機群組已建立。 |
| 4732 | 636 | 低 | 成員已新增至已啟用安全性的本機群組。 |
| 4733 | 637 | 低 | 成員已從已啟用安全性的本機群組中移除。 |
| 4734 | 638 | 低 | 已啟用安全性的本機群組已刪除。 |
| 4738 | 642 | 低 | 使用者帳戶已變更。 |
| 4740 | 644 | 低 | 使用者帳戶已鎖定。 |
| 4741 | 645 | 低 | 電腦帳戶已變更。 |
| 4742 | 646 | 低 | 電腦帳戶已變更。 |
| 4743 | 647 | 低 | 電腦帳戶已刪除。 |
| 4744 | 648 | 低 | 已停用安全性的本機群組已建立。 |
| 4745 | 649 | 低 | 已停用安全性的本機群組已變更。 |
| 4746 | 650 | 低 | 成員已新增至已停用安全性的本機群組。 |
| 4747 | 651 | 低 | 成員已從已停用安全性的本機群組中移除。 |
| 4748 | 652 | 低 | 已停用安全性的本機群組已刪除。 |
| 4749 | 653 | 低 | 已停用安全性的全域群組已建立。 |
| 4750 | 654 | 低 | 已停用安全性的全域群組已變更。 |
| 4751 | 655 | 低 | 成員已新增至已停用安全性的全域群組。 |
| 4752 | 656 | 低 | 成員已從已停用安全性的全域群組中移除。 |
| 4753 | 657 | 低 | 已停用安全性的全域群組已刪除。 |
| 4756 | 660 | 低 | 成員已新增至已啟用安全性的通用群組。 |
| 4757 | 661 | 低 | 成員已從已啟用安全性的通用群組中移除。 |
| 4758 | 662 | 低 | 已啟用安全性的通用群組已刪除。 |
| 4759 | 663 | 低 | 已停用安全性的通用群組已建立。 |
| 4760 | 664 | 低 | 已停用安全性的通用群組已變更。 |
| 4761 | 665 | 低 | 成員已新增至已停用安全性的通用群組。 |
| 4762 | 666 | 低 | 成員已從已停用安全性的通用群組中移除。 |
| 4767 | 671 | 低 | 使用者帳戶已解除鎖定。 |
| 4768 | 672,676 | 低 | 已要求 Kerberos 驗證票證 (TGT)。 |
| 4769 | 673 | 低 | 已要求 Kerberos 服務票證。 |
| 4770 | 674 | 低 | Kerberos 服務票證已更新。 |
| 4771 | 675 | 低 | Kerberos 預先驗證失敗。 |
| 4772 | 672 | 低 | Kerberos 驗證票證要求失敗。 |
| 4774 | 678 | 低 | 已對應帳戶以進行登入。 |
| 4775 | 679 | 低 | 無法對應帳戶以進行登入。 |
| 4776 | 680,681 | 低 | 網域控制站嘗試驗證帳戶的認證。 |
| 4777 | N/A | 低 | 網域控制站無法驗證帳戶的認證。 |
| 4778 | 682 | 低 | 工作階段已重新連線到 Window Station。 |
| 4779 | 683 | 低 | 工作階段已中斷與 Window Station 的連線。 |
| 4781 | 685 | 低 | 帳戶的名稱已變更: |
| 4782 | N/A | 低 | 已存取帳戶的密碼雜湊。 |
| 4783 | 667 | 低 | 已建立基本應用程式群組。 |
| 4784 | N/A | 低 | 已變更基本應用程式群組。 |
| 4785 | 689 | 低 | 成員已新增至基本應用程式群組。 |
| 4786 | 690 | 低 | 成員已從基本應用程式群組中移除。 |
| 4787 | 691 | 低 | 非成員已新增至基本應用程式群組。 |
| 4788 | 692 | 低 | 非成員已從基本應用程式群組中移除。 |
| 4789 | 693 | 低 | 已刪除基本應用程式群組。 |
| 4790 | 694 | 低 | 已建立 LDAP 查詢群組。 |
| 4793 | N/A | 低 | 已呼叫密碼原則檢查 API。 |
| 4800 | N/A | 低 | 工作站已鎖定。 |
| 4801 | N/A | 低 | 工作站已解除鎖定。 |
| 4802 | N/A | 低 | 螢幕保護裝置已叫用。 |
| 4803 | N/A | 低 | 螢幕保護裝置已關閉。 |
| 4864 | N/A | 低 | 已偵測到命名空間衝突。 |
| 4869 | 773 | 低 | 憑證服務已收到重新提交憑證的要求。 |
| 4871 | 775 | 低 | 憑證服務已收到發佈憑證撤銷清單 (CRL) 的要求。 |
| 4872 | 776 | 低 | 憑證服務已發佈憑證撤銷清單 (CRL)。 |
| 4873 | 777 | 低 | 憑證要求延伸已變更。 |
| 4874 | 778 | 低 | 一或多個憑證要求屬性已變更。 |
| 4875 | 779 | 低 | 憑證服務收到了關機的要求。 |
| 4876 | 780 | 低 | 憑證服務備份已啟動。 |
| 4877 | 781 | 低 | 憑證服務備份已完成。 |
| 4878 | 782 | 低 | 憑證服務還原已啟動。 |
| 4879 | 783 | 低 | 憑證服務還原已完成。 |
| 4880 | 784 | 低 | 憑證服務已啟動。 |
| 4881 | 785 | 低 | 憑證服務已停止。 |
| 4883 | 787 | 低 | 憑證服務抓取了一個備份金鑰。 |
| 4884 | 788 | 低 | 憑證服務將憑證匯入其資料庫。 |
| 4886 | 790 | 低 | 憑證服務收到了憑證要求。 |
| 4887 | 791 | 低 | 憑證服務已同意憑證要求,而且簽發了憑證。 |
| 4888 | 792 | 低 | 憑證服務拒絕了憑證要求。 |
| 4889 | 793 | 低 | 憑證服務將憑證要求的狀態設定為擱置。 |
| 4891 | 795 | 低 | 憑證服務的設定項目已變更。 |
| 4893 | 797 | 低 | 憑證服務備份了一個金鑰。 |
| 4894 | 798 | 低 | 憑證服務已匯入並備份了一個金鑰。 |
| 4895 | 799 | 低 | 憑證服務已發佈一份 CA 憑證給 Active Directory 網域服務。 |
| 4898 | 802 | 低 | 憑證服務已載入範本。 |
| 4902 | N/A | 低 | 已建立每位使用者的稽核原則資料表。 |
| 4904 | N/A | 低 | 嘗試註冊安全性事件來源。 |
| 4905 | N/A | 低 | 嘗試取消註冊安全性事件來源。 |
| 4909 | N/A | 低 | TBS 的本機原則設定已變更。 |
| 4910 | N/A | 低 | TBS 的群組原則設定已變更。 |
| 4928 | N/A | 低 | 已建立 Active Directory 複本來源命名內容。 |
| 4929 | N/A | 低 | 已移除 Active Directory 複本來源命名內容。 |
| 4930 | N/A | 低 | 已修改 Active Directory 複本來源命名內容。 |
| 4931 | N/A | 低 | 已修改 Active Directory 複本目的地命名內容。 |
| 4932 | N/A | 低 | Active Directory 命名內容的複本同步處理已開始。 |
| 4933 | N/A | 低 | Active Directory 命名內容的複本同步處理已結束。 |
| 4934 | N/A | 低 | 已複寫 Active Directory 物件的屬性。 |
| 4935 | N/A | 低 | 複寫失敗開始。 |
| 4936 | N/A | 低 | 複寫失敗結束。 |
| 4937 | N/A | 低 | 延遲物件已從複本移除。 |
| 4944 | N/A | 低 | 當 Windows 防火牆啟動時,下列原則為作用中。 |
| 4945 | N/A | 低 | Windows 防火牆啟動時會列出規則。 |
| 4946 | N/A | 低 | 已對 Windows 防火牆例外清單進行變更。 已新增規則。 |
| 4947 | N/A | 低 | 已對 Windows 防火牆例外清單進行變更。 已修改規則。 |
| 4948 | N/A | 低 | 已對 Windows 防火牆例外清單進行變更。 已刪除規則。 |
| 4949 | N/A | 低 | Windows 防火牆設定已還原至預設值。 |
| 4950 | N/A | 低 | Windows 防火牆設定已變更。 |
| 4951 | N/A | 低 | 因為 Windows 防火牆無法辨識其主要版本號碼,因此已忽略規則。 |
| 4952 | N/A | 低 | 因為 Windows 防火牆無法辨識其次要版本號碼,因此已忽略部分規則。 會執行規則的其他部分。 |
| 4953 | N/A | 低 | Windows 防火牆已忽略規則,因為它無法剖析規則。 |
| 4954 | N/A | 低 | Windows 防火牆群組原則設定已變更。 已套用新的設定。 |
| 4956 | N/A | 低 | Windows 防火牆已變更使用中設定檔。 |
| 4957 | N/A | 低 | Windows 防火牆未套用下列規則: |
| 4958 | N/A | 低 | Windows 防火牆未套用下列規則,因為規則參照為在此電腦上設定的項目: |
| 4979 | N/A | 低 | 已建立 IPsec 主要模式和擴充模式安全性關聯。 |
| 4980 | N/A | 低 | 已建立 IPsec 主要模式和擴充模式安全性關聯。 |
| 4981 | N/A | 低 | 已建立 IPsec 主要模式和擴充模式安全性關聯。 |
| 4982 | N/A | 低 | 已建立 IPsec 主要模式和擴充模式安全性關聯。 |
| 4985 | N/A | 低 | 交易的狀態已變更。 |
| 5024 | N/A | 低 | Windows 防火牆服務已成功啟動。 |
| 5025 | N/A | 低 | Windows 防火牆服務已停止。 |
| 5031 | N/A | 低 | Windows 防火牆服務已封鎖應用程式接受網路上的連入連線。 |
| 5032 | N/A | 低 | Windows 防火牆無法通知使用者,它已封鎖應用程式接受網路上的連入連線。 |
| 5033 | N/A | 低 | Windows 防火牆驅動程式已成功啟動。 |
| 5034 | N/A | 低 | Windows 防火牆驅動程式已停止。 |
| 5039 | N/A | 低 | 登錄機碼已虛擬化。 |
| 5040 | N/A | 低 | 已對 IPsec 設定進行變更。 驗證集已新增。 |
| 5041 | N/A | 低 | 已對 IPsec 設定進行變更。 驗證集已修改。 |
| 5042 | N/A | 低 | 已對 IPsec 設定進行變更。 驗證集已刪除。 |
| 5043 | N/A | 低 | 已對 IPsec 設定進行變更。 已新增連線安全性規則。 |
| 5044 | N/A | 低 | 已對 IPsec 設定進行變更。 已修改連線安全性規則。 |
| 5045 | N/A | 低 | 已對 IPsec 設定進行變更。 已刪除連線安全性規則。 |
| 5046 | N/A | 低 | 已對 IPsec 設定進行變更。 已新增密碼編譯集。 |
| 5047 | N/A | 低 | 已對 IPsec 設定進行變更。 已修改密碼編譯集。 |
| 5048 | N/A | 低 | 已對 IPsec 設定進行變更。 密碼編譯集已刪除。 |
| 5050 | N/A | 低 | 嘗試使用 InetFwProfile.FirewallEnabled(False) 呼叫來停用 Windows 防火牆 |
| 5051 | N/A | 低 | 檔案已虛擬化。 |
| 5056 | N/A | 低 | 已執行密碼編譯自我測試。 |
| 5057 | N/A | 低 | 密碼編譯基本作業失敗。 |
| 5058 | N/A | 低 | 金鑰檔案作業。 |
| 5059 | N/A | 低 | 金鑰移轉作業。 |
| 5060 | N/A | 低 | 驗證作業失敗。 |
| 5061 | N/A | 低 | 密碼編譯作業。 |
| 5062 | N/A | 低 | 已執行核心模式密碼編譯自我測試。 |
| 5063 | N/A | 低 | 已嘗試密碼編譯提供者作業。 |
| 5064 | N/A | 低 | 已嘗試密碼編譯內容作業。 |
| 5065 | N/A | 低 | 已嘗試密碼編譯內容修改。 |
| 5066 | N/A | 低 | 已嘗試密碼編譯函式作業。 |
| 5067 | N/A | 低 | 已嘗試密碼編譯函式修改。 |
| 5068 | N/A | 低 | 已嘗試密碼編譯函式提供者作業。 |
| 5069 | N/A | 低 | 已嘗試密碼編譯函式屬性作業。 |
| 5070 | N/A | 低 | 已嘗試密碼編譯函式屬性修改。 |
| 5125 | N/A | 低 | 已向 OCSP 回應器服務提交要求 |
| 5126 | N/A | 低 | OCSP 回應器服務已自動更新簽署憑證 |
| 5127 | N/A | 低 | OCSP 撤銷提供者已成功更新撤銷資訊 |
| 5136 | 566 | 低 | 已修改目錄服務物件。 |
| 5137 | 566 | 低 | 已建立目錄服務物件。 |
| 5138 | N/A | 低 | 目錄服務物件尚未刪除。 |
| 5139 | N/A | 低 | 已移動目錄服務物件。 |
| 5140 | N/A | 低 | 已存取網路共用物件。 |
| 5141 | N/A | 低 | 已刪除目錄服務物件。 |
| 5152 | N/A | 低 | Windows 篩選平台已封鎖封包。 |
| 5153 | N/A | 低 | 更嚴格的 Windows 篩選平台已封鎖封包。 |
| 5154 | N/A | 低 | Windows 篩選平台已允許應用程式或服務在連接埠上接聽連入連線。 |
| 5155 | N/A | 低 | Windows 篩選平台已封鎖應用程式或服務在連接埠上接聽連入連線。 |
| 5156 | N/A | 低 | Windows 篩選平台已允許連線。 |
| 5157 | N/A | 低 | Windows 篩選平台已封鎖連線。 |
| 5158 | N/A | 低 | Windows 篩選平台已允許繫結至本機連接埠。 |
| 5159 | N/A | 低 | Windows 篩選平台已封鎖繫結至本機連接埠。 |
| 5378 | N/A | 低 | 原則不允許要求的認證委派。 |
| 5440 | N/A | 低 | 當 Windows 篩選平台基礎篩選引擎啟動時,會出現下列圖說文字。 |
| 5441 | N/A | 低 | 當 Windows 篩選平台基礎篩選引擎啟動時,會出現下列篩選。 |
| 5442 | N/A | 低 | 當 Windows 篩選平台基礎篩選引擎啟動時,會出現下列提供者。 |
| 5443 | N/A | 低 | 當 Windows 篩選平台基礎篩選引擎啟動時,會出現下列提供者內容。 |
| 5444 | N/A | 低 | 當 Windows 篩選平台基礎篩選引擎啟動時,會出現下列副層。 |
| 5446 | N/A | 低 | Windows 篩選平台圖說文字已變更。 |
| 5447 | N/A | 低 | Windows 篩選平台篩選已變更。 |
| 5448 | N/A | 低 | Windows 篩選平台提供者已變更。 |
| 5449 | N/A | 低 | Windows 篩選平台提供者內容已變更。 |
| 5450 | N/A | 低 | Windows 篩選平台副層已變更。 |
| 5451 | N/A | 低 | 已建立 IPsec 快速模式安全性關聯。 |
| 5452 | N/A | 低 | IPsec 快速模式安全性關聯已結束。 |
| 5456 | N/A | 低 | PAStore Engine 在電腦上已套用 Active Directory 儲存體 IPsec 原則。 |
| 5457 | N/A | 低 | PAStore Engine 無法在電腦上套用 Active Directory 儲存體 IPsec 原則。 |
| 5458 | N/A | 低 | PAStore Engine 已在電腦上套用 Active Directory 儲存體 IPsec 原則的本機快取複本。 |
| 5459 | N/A | 低 | PAStore Engine 無法在電腦上套用 Active Directory 儲存體 IPsec 原則的本機快取複本。 |
| 5460 | N/A | 低 | PAStore Engine 在電腦上已套用本機登錄儲存體 IPsec 原則。 |
| 5461 | N/A | 低 | PAStore Engine 無法在電腦上套用本機登錄儲存體 IPsec 原則。 |
| 5462 | N/A | 低 | PAStore Engine 無法在電腦上套用使用中 IPsec 原則的某些規則。 使用 IP 安全性監視器嵌入式管理單元來診斷問題。 |
| 5463 | N/A | 低 | PAStore Engine 已輪詢作用中 IPsec 原則的變更,且未偵測到任何變更。 |
| 5464 | N/A | 低 | PAStore Engine 已輪詢作用中 IPsec 原則的變更、已偵測到變更,並將已其套用至 IPsec 服務。 |
| 5465 | N/A | 低 | PAStore Engine 已接收到強制重載 IPsec 原則的控制項,並已成功處理控制項。 |
| 5466 | N/A | 低 | PAStore Engine 已輪詢 Active Directory IPsec 原則的變更、已判斷無法連線到 Active Directory,而且將會改用 Active Directory IPsec 原則的快取複本。 無法套用上次輪詢之後對 Active Directory IPsec 原則所做的任何變更。 |
| 5467 | N/A | 低 | PAStore Engine 已輪詢 Active Directory IPsec 原則的變更、已判斷可連線到 Active Directory,而且找不到原則的變更。 不再使用 Active Directory IPsec 原則的快取複本。 |
| 5468 | N/A | 低 | PAStore Engine 已輪詢 Active Directory IPsec 原則的變更、已判斷可連線到 Active Directory、已找到原則的變更,而且已套用這些變更。 不再使用 Active Directory IPsec 原則的快取複本。 |
| 5471 | N/A | 低 | PAStore Engine 已在電腦上載入本機儲存體 IPsec 原則。 |
| 5472 | N/A | 低 | PAStore Engine 無法在電腦上載入本機儲存體 IPsec 原則。 |
| 5473 | N/A | 低 | PAStore Engine 在電腦上已載入目錄儲存體 IPsec 原則。 |
| 5474 | N/A | 低 | PAStore Engine 無法在電腦上載入目錄儲存體 IPsec 原則。 |
| 5477 | N/A | 低 | PAStore Engine 無法新增快速模式篩選。 |
| 5479 | N/A | 低 | IPsec 服務已成功關閉。 IPsec 服務的關閉可能會使電腦面臨更大的網路攻擊風險,或讓電腦面臨潛在的安全性風險。 |
| 5632 | N/A | 低 | 已提出向無線網路進行驗證的要求。 |
| 5633 | N/A | 低 | 已提出向有線網路進行驗證的要求。 |
| 5712 | N/A | 低 | 已嘗試遠端程序呼叫 (RPC)。 |
| 5888 | N/A | 低 | COM+ 目錄中的物件已修改。 |
| 5889 | N/A | 低 | 物件已從 COM+ 目錄刪除。 |
| 5890 | N/A | 低 | 物件已新增至 COM+ 目錄。 |
| 6008 | N/A | 低 | 先前的系統關機未預期 |
| 6144 | N/A | 低 | 群組原則物件中的安全性原則已成功套用。 |
| 6272 | N/A | 低 | 網路原則伺服器已授與使用者存取權。 |
| N/A | 561 | 低 | 已要求物件的控制碼。 |
| N/A | 563 | 低 | 物件已開啟以進行刪除 |
| N/A | 625 | 低 | 使用者帳戶類型已變更 |
| N/A | 613 | 低 | IPsec 原則代理程式已啟動 |
| N/A | 614 | 低 | IPsec 原則代理程式已停用 |
| N/A | 615 | 低 | IPSec 原則代理程式 |
| N/A | 616 | 低 | IPsec 原則代理程式遇到潛在的嚴重失敗 |
| 24577 | N/A | 低 | 磁碟區加密已啟動 |
| 24578 | N/A | 低 | 磁碟區加密已停止 |
| 24579 | N/A | 低 | 磁碟區加密已完成 |
| 24580 | N/A | 低 | 磁碟區解密已啟動 |
| 24581 | N/A | 低 | 磁碟區解密已停止 |
| 24582 | N/A | 低 | 磁碟區解密已完成 |
| 24583 | N/A | 低 | 磁碟區的轉換背景工作執行緒已啟動 |
| 24584 | N/A | 低 | 磁碟區的轉換背景工作執行緒已暫時停止 |
| 24588 | N/A | 低 | 磁碟區 %2 上的轉換作業發生錯誤磁區錯誤。 請驗證此磁碟區上的資料 |
| 24595 | N/A | 低 | 磁碟區 %2 包含不正確的叢集。 轉換期間會略過這些叢集。 |
| 24621 | N/A | 低 | 初始狀態檢查:在 %2 上輪替磁碟區轉換交易。 |
| 5049 | N/A | 低 | IPsec 安全性關聯已刪除。 |
| 5478 | N/A | 低 | IPsec 服務已成功啟動。 |
注意
如需許多安全性事件識別碼及其意義的清單,請參閱 Windows 安全性稽核事件。
執行 wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true,以取得所有安全性事件識別碼非常詳細的清單
如需 Windows 安全性事件識別碼及其意義的詳細資訊,請參閱 Microsoft 支援服務文章 基本安全性稽核原則設定。 您也可以下載 Windows 安全性稽核事件,以試算表格式提供參考作業系統的詳細事件資訊。