详细分析win2003九大安全事件ID(4)

　　八、详细的跟踪事件

　　下面显示了由"审核过程跟踪"安全模板设置所生成的安全事件。

　　592：已创建新进程。

　　593：进程已退出。

　　594：对象句柄已复制。

　　595：已获取对象的间接访问权。

　　596：数据保护主密钥已备份。

　　注意：

　　主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。

　　597：数据保护主密钥已从恢复服务器恢复。

　　598：审核过的数据已受保护。

　　599：审核过的数据未受保护。

　　600：已分配给进程主令牌。

　　601：用户试图安装服务。

　　602：已创建计划程序任务。

　　九、审核系统事件

　　下面显示了由"审核系统事件"安全模板设置所生成的系统事件。

　　512：Windows 正在启动。

　　513：Windows 正在关机。

　　514：本地安全机制机构已加载身份验证数据包。

　　515：受信任的登录过程已经在本地安全机构注册。

　　516：用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。

　　517：审核日志已清除。

　　518：安全帐户管理器已加载通知数据包。

　　519：进程正在使用无效的本地过程调用 (LPC) 端口，试图伪装客户端并向客户端地址空间答复、读取或写入。

　　520：系统时间已更改。

　　注意：

　　在正常情况下，该审核出现两次。