详细分析win2003九大安全事件ID(2)

　　三、目录服务访问事件

　　下面显示了由"审核目录服务访问"安全模板设置所生成的安全事件。

　　566：发生了一般对象操作。

　　四、登录事件ID

　　528：用户成功登录到计算机。

　　529：登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

　　530：登录失败。试图在允许的时间外登录。

　　531：登录失败。试图使用禁用的帐户登录。

　　532：登录失败。试图使用已过期的帐户登录。

　　533：登录失败。不允许登录到指定计算机的用户试图登录。

　　534：登录失败。用户试图使用不允许的密码类型登录。

　　535：登录失败。指定帐户的密码已过期。

　　536：登录失败。Net Logon 服务没有启动。

　　537：登录失败。由于其他原因登录尝试失败。

　　注意：

　　在某些情况下，登录失败的原因可能是未知的。

　　538：用户的注销过程已完成。

　　539：登录失败。试图登录时，该帐户已锁定。

　　540：用户成功登录到网络。

　　541：本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成，或者快速模式已建立了数据频道。

　　542：数据频道已终止。

　　543：主要模式已终止。

　　注意：

　　如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止，则会发生此情况。

　　544：由于对等客户端没有提供有效的证书或者签名无效，造成主要模式身份验证失败。

　　545：由于 Kerberos 失败或者密码无效，造成主要模式身份验证失败。

　　546：由于对等客户端发送的建议无效，造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

　　547：在 IKE 握手过程中，出现错误。

　　548：登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

　　549：登录失败。在林内进行身份验证时，所有与不受信任的名称空间相关的 SID 将被筛选出去。

　　550：可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

　　551：用户已启动注销过程。

　　552：用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

　　682：用户已重新连接至已断开的终端服务器会话。

　　683：用户还未注销就断开终端服务器会话。注意：当用户通过网络连接到终端服务器会话时，就会生成此事件。该事件出现在终端服务器上。

　　五、对象访问事件

　　下面显示了由"审核对象访问"安全模板设置所生成的安全事件。

　　560：访问权限已授予现有的对象。

　　562：指向对象的句柄已关闭。

　　563：试图打开一个对象并打算将其删除。

　　注意：

　　当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时，此事件可以用于文件系统。

　　564：受保护对象已删除。

　　565：访问权限已授予现有的对象类型。

　　567：使用了与句柄关联的权限。

　　注意：

　　创建句柄时，已授予其具体权限，如读取、写入等。使用句柄时，最多为每个使用的权限生成一个审核。

　　568：试图创建与正在审核的文件的硬链接。

　　569：授权管理器中的资源管理器试图创建客户端上下文。

　　570：客户端试图访问对象。

　　注意：

　　在此对象上发生的每个尝试操作都将生成一个事件。

　　571：客户端上下文由授权管理器应用程序删除。

　　572：Administrator Manager(管理员管理器)初始化此应用程序。

　　772：证书管理器已拒绝挂起的证书申请。

　　773：证书服务已收到重新提交的证书申请。

　　774：证书服务已吊销证书。

　　775：证书服务已收到发行证书吊销列表 (CRL) 的请求。

　　776：证书服务已发行 CRL。

　　777：已制定证书申请扩展。

　　778：已更改多个证书申请属性。

　　779：证书服务已收到关机请求。

　　780：已开始证书服务备份。

　　781：已完成证书服务备份。

　　782：已开始证书服务还原。

　　783：已完成证书服务还原。

　　784：证书服务已开始。

　　785：证书服务已停止。

　　786：已更改证书服务的安全权限。

　　787：证书服务已检索存档密钥。

　　788：证书服务已将证书导入其数据库中。

　　789：证书服务审核筛选已更改。

　　790：证书服务已收到证书申请。

　　791：证书服务已批准证书申请并已颁发证书。

　　792：证书服务已拒绝证书申请。

　　793：证书服务将证书申请状态设为挂起。

　　794：证书服务的证书管理器设置已更改。

　　795：证书服务中的配置项已更改。

　　796：证书服务的属性已更改。

　　797：证书服务已将密钥存档。

　　798：证书服务导入密钥并将其存档。

　　799：证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。

　　800：已从证书数据库删除一行或多行。

　　801：角色分离已启用。