[转]帐号登录事件(事件编号与描述)

帐号登录事件(事件编号与描述)

作者：独孤行@winmag来源：/bbs/

672身份验证服务（AS）票证得到成功发行与验证。

673票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。

674安全主体重建AS票证或TGS票证。

675预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。

676身份验证票证请求失败。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。

677TGS票证无法得到授权。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。

678指定帐号成功映射到一个域帐号。

681登录失败。域帐号尝试进行登录。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。

682用户重新连接到一个已经断开连接的终端服务器会话上。

683用户在没有注销的情况下与终端服务器会话断开连接。

帐号管理事件

624一个用户帐号被创建。

627一个用户密码被修改。

628一个用户密码被设置。

630一个用户密码被删除。

631一个全局组被创建。

632一个成员被添加到特定全局组中。

633一个成员从特定全局组中被删除。

634一个全局组被删除。

635一个新的本地组被创建。

636一个成员被添加到本地组中。

637一个成员从本地组中被删除。

638一个本地组被删除。

639一个本地组帐号被修改。

641一个全局组帐号被修改。

642一个用户帐号被修改。

643一个域策略被修改。

644一个用户帐号被自动锁定。

645一个计算机帐号被创建。

646一个计算机帐号被修改。

647一个计算机帐号被删除。

648一个禁用安全特性的本地安全组被创建。说明：正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。

649一个禁用安全特性的本地安全组被修改。

650一个成员被添加到一个禁用安全特性的本地安全组中。

651一个成员从一个禁用安全特性的本地安全组中被删除。

652一个禁用安全特性的本地组被删除。

653一个禁用安全特性的全局组被创建。

654一个禁用安全特性的全局组被修改。

655一个成员被添加到一个禁用安全特性的全局组中。

656一个成员从一个禁用安全特性的全局组中被删除。

657一个禁用安全特性的全局组被删除。

658一个启用安全特性的通用组被创建。

659一个启用安全特性的通用组被修改。

660一个成员被添加到一个启用安全特性的通用组中。

661一个成员从一个启用安全特性的通用组中被删除。

662一个启用安全特性的通用组被删除。

663一个禁用安全特性的通用组被创建。

664一个禁用安全特性的通用组被修改。

665一个成员被添加到一个禁用安全特性的通用组中。

666一个成员从一个禁用安全特性的通用组中被删除。

667一个禁用安全特性的通用组被删除。

668一个组类型被修改。

684管理组成员的安全描述符被设置。说明：在域控制器上，一个后台线程每60秒将对管理组中的所有成员（如域管理员、企业管理员和架构管理员）进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。

685一个帐号名称被修改。

审核登录事件

528用户成功登录到计算机上。

529登录失败：试图使用未知用户名或带有错误密码的已知用户名进行登录。

530登录失败：试图在允许时间范围以外进行登录。

531登录失败：试图通过禁用帐号进行登录。

532登录失败：试图通过过期帐号进行登录。

533登录失败：试图通过不允许在特定计算机上进行登录的用户帐号进行登录。

534登录失败：用户试图通过不允许使用的密码类型进行登录。

535登录失败：针对指定帐号的密码已经过期。

536登录失败：网络登录服务未被激活。

537登录失败：由于其它原因导致登录失败。说明：在某些情况下，登录失败原因可能无法确定。

538针对某一用户的注销操作完成。

539登录失败：登录帐号在登录时刻已被锁定。

540用户成功登录到网络。

541本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换（IKE）身份验证操作已经完成（建立一条安全关联），或者快速模式已经建立一条数据通道。

542数据通道被中断。

543主模式被中断。说明：这种事件可能在安全关联时间限制到期（缺省值为8小时）、策略修改或对等客户中断时发生。

544由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。

545由于Kerberos失败或密码不合法导致主模式身份验证失败。

546由于对等客户发送非法了非法提议，IKE安全关联建立没有成功。收到一个包含非法数据的数据包。

547IKE握手过程中发生错误。

548登录失败：来自信任域的安全标识符（SID）与客户端的帐号域SID不匹配。

549登录失败：在跨域身份验证过程中，所有同非信任名称空间相对应的SID均已被过滤掉。

550能够指示可能发生拒绝服务（DoS）攻击的通知消息。

551用户发起注销操作。

552用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。

682用户重新连接到一个已经断开连接的终端服务器会话上。

683用户在没有注销的情况下与终端服务器会话断开连接。说明：这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。

对象访问事件

560访问由一个已经存在的对象提供授权。

562一个对象访问句柄被关闭。

563试图打开并删除一个对象。说明：当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时，这种事件将被文件系统所使用。

564一个保护对象被删除。

565访问由一种已经存在的对象类型提供授权。

567一种与句柄相关联的权限被使用。说明：一个授予特定权限（读取、写入等）的句柄被创建。当使用这个句柄时，至多针对所用到的每种权限产生一次审核。

568试图针对正在进行审核的文件创建硬连接。

569身份验证管理器中的资源管理器试图创建客户端上下文。

570客户端试图访问一个对象。说明：针对对象的每次操作尝试都将产生一个事件。

571客户端上下文被身份验证管理器应用程序删除。

572管理员管理器初始化应用程序。

772证书管理器拒绝了挂起的证书申请。

773证书服务收到重新提交的证书申请。

774证书服务吊销了证书。

775证书服务收到发行证书吊销列表(CRL)的请求。

776证书服务发行了证书吊销列表(CRL)。

777更改了证书申请扩展。

778更改了多个证书申请属性。

779证书服务收到关机请求。

780已开始证书服务备份。

781已完成证书服务备份。

782已开始证书服务还原。

783已完成证书服务还原。

784证书服务已经开始。

785证书服务已经停止。

786证书服务更改的安全权限。

787证书服务检索了存档密钥。

788证书服务将证书导入数据库中。

789证书服务更改的审核筛选。

790证书服务收到证书申请。

791证书服务批准了证书申请并颁发了证书。

792证书服务拒绝证书申请。

793证书服务将证书申请状态设为挂起。

794证书服务更改的证书管理器设置

795证书服务更改的配置项。

796证书服务更改属性。

797证书服务存档了密钥。

798证书服务导入和存档了密钥。

799证书服务将证书发行机构（CA）证书发行到ActiveDirectory。

800从证书数据库删除一行或多行。

801角色分隔被启用。

审核策略更改事件

608用户权限已被分配。

609用户权限已被删除。

610与另一个域的信任关系已被创建。

611与另一个域的信任关系已被删除。

612审核策略已被更改。

613Internet协议安全性（IPSec）策略代理已经启动。

614IPSec策略代理已被禁用。

615IPSec策略代理已被更改。

616IPSec策略代理遇到一个潜在的严重问题。

617Kerberos5.0版策略已被更改。

618经过加密的数据恢复策略已更改。

620与另一个域的信任关系已被修改。

621系统访问权限已被授予帐号。

622系统访问权限已从帐号中删除。

623审核策略以对等用户为单位进行设置。

625审核策略以对等用户为单位进行刷新。

768检 测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明：当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时，它将无 法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和 SID之类的字段对于“TopLevelName”类型的记录便是非法的。

769添加了受信任的森林信息。说明：这种事件消息将在更新受信任的 森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改 多条记录，生成的所有事件消息都将被分配一个相同且唯一标识符（称作操作编号）。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记 录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。

770删除了受信任的森林信息。说明：查看编号为769的事件描述。

771修改了受信任的森林信息。说明：查看编号为769的事件描述。

805事件日志服务读取针对会话的安权限使用事件

权限使用事件

576特定权限已被添加到用户访问令牌中。说明：这种事件将在用户登录时产生。

577用户试图执行受到权限保护的系统服务操作。

578在已经处于打开状态的受保护对象句柄上使用权限。

详细跟踪事件

592已经创建新的过程。

593已经退出某过程。

594对象的句柄被重复

595已经取得对象的间接访问权。

596数据保护主密钥备份。说明：主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统（EFS）所使用。这种主密钥将在每次创建新增主密钥时予以备份。（缺省设置为90天。）密钥备份操作通常由域控制器执行。

597数据保护主密钥已由恢复服务器恢复完毕。

598审核数据已得到保护。

599审核数据保护已取消。

600分派给进程一个主令牌。

601用户尝试安装服务。

602一个计划作业已被创建。

面向审核系统事件的系统事件消息

512正在启动Windows。

513Windows正在关机。

514本地安全机制机构已加载身份验证数据包。

515受信任的登录过程已经在本地安全机制机构注册。

516用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。

517审核日志已经清除。

518安全帐户管理器已经加载通知数据包。

519一个过程正在试图通过无效本地过程调用（LPC）端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。

520系统时间已更改。说明：这种审核操作通常成对出现。

如果觉得《[转]帐号登录事件(事件编号与描述)》对你有帮助，请点赞、收藏，并留下你的观点哦！