常州五颜六色网络技术有限公司 -> 技术文档 -> Server 2003安全事件ID分析(中) 登录 -> 注册 -> 回复主题 -> 发表主题

吸血狼王 2006-12-18 14:40
四、登录事件ID

  528:用户成功登录到计算机。

  529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

  530:登录失败。试图在允许的时间外登录。

  531:登录失败。试图使用禁用的帐户登录。

  532:登录失败。试图使用已过期的帐户登录。

  533:登录失败。不允许登录到指定计算机的用户试图登录。

  534:登录失败。用户试图使用不允许的密码类型登录。

  535:登录失败。指定帐户的密码已过期。

  536:登录失败。Net Logon 服务没有启动。

  537:登录失败。由于其他原因登录尝试失败。

  注意:

  在某些情况下,登录失败的原因可能是未知的。

  538:用户的注销过程已完成。

  539:登录失败。试图登录时,该帐户已锁定。

  540:用户成功登录到网络。

  541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。

  542:数据频道已终止。

  543:主要模式已终止。

  注意:

  如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。

  544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。

  545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。

  546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

  547:在 IKE 握手过程中,出现错误。

  548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

  549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。

  550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

  551:用户已启动注销过程。

  552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

  682:用户已重新连接至已断开的终端服务器会话。

  683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。
五、对象访问事件

  下面显示了由"审核对象访问"安全模板设置所生成的安全事件。

  560:访问权限已授予现有的对象。

  562:指向对象的句柄已关闭。

  563:试图打开一个对象并打算将其删除。

  注意:

  当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统。

  564:受保护对象已删除。

  565:访问权限已授予现有的对象类型。

  567:使用了与句柄关联的权限。

  注意:

  创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。

  568:试图创建与正在审核的文件的硬链接。

  569:授权管理器中的资源管理器试图创建客户端上下文。

  570:客户端试图访问对象。

  注意:

  在此对象上发生的每个尝试操作都将生成一个事件。

  571:客户端上下文由授权管理器应用程序删除。

  572:Administrator Manager(管理员管理器)初始化此应用程序。

  772:证书管理器已拒绝挂起的证书申请。

  773:证书服务已收到重新提交的证书申请。

  774:证书服务已吊销证书。

  775:证书服务已收到发行证书吊销列表 (CRL) 的请求。

  776:证书服务已发行 CRL。

  777:已制定证书申请扩展。

  778:已更改多个证书申请属性。

  779:证书服务已收到关机请求。

  780:已开始证书服务备份。

  781:已完成证书服务备份。

  782:已开始证书服务还原。

  783:已完成证书服务还原。

  784:证书服务已开始。

  785:证书服务已停止。

  786:已更改证书服务的安全权限。

  787:证书服务已检索存档密钥。

  788:证书服务已将证书导入其数据库中。

  789:证书服务审核筛选已更改。

  790:证书服务已收到证书申请。

  791:证书服务已批准证书申请并已颁发证书。

  792:证书服务已拒绝证书申请。

  793:证书服务将证书申请状态设为挂起。

  794:证书服务的证书管理器设置已更改。

  795:证书服务中的配置项已更改。

  796:证书服务的属性已更改。

  797:证书服务已将密钥存档。

  798:证书服务导入密钥并将其存档。

  799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。

  800:已从证书数据库删除一行或多行。

  801:角色分离已启用。


查看完整版本: [-- Server 2003安全事件ID分析(中) --] [-- top --]



Copyright © 2005-2014 5y6s Inc. 苏ICP备05001866号 Powered by PHPWind 5.0.1
Time 0.017821 second(s),query:3 Gzip enabled