对象访问事件
560 访问由一个已经存在的对象提供授权。
562 一个对象访问句柄被关闭。
563 试图打开并删除一个对象。说明：当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时，这种事件将被文件系统所使用。
564 一个保护对象被删除。
565 访问由一种已经存在的对象类型提供授权。
567 一种与句柄相关联的权限被使用。说明：一个授予特定权限（读取、写入等）的句柄被创建。当使用这个句柄时，至多针对所用到的每种权限产生一次审核。
568 试图针对正在进行审核的文件创建硬连接。
569 身份验证管理器中的资源管理器试图创建客户端上下文。
570 客户端试图访问一个对象。说明：针对对象的每次操作尝试都将产生一个事件。
571 客户端上下文被身份验证管理器应用程序删除。
572 管理员管理器初始化应用程序。
772 证书管理器拒绝了挂起的证书申请。
773 证书服务收到重新提交的证书申请。
774 证书服务吊销了证书。
775 证书服务收到发行证书吊销列表(CRL) 的请求。
776 证书服务发行了证书吊销列表(CRL)。
777 更改了证书申请扩展。
778 更改了多个证书申请属性。
779 证书服务收到关机请求。
780 已开始证书服务备份。
781 已完成证书服务备份。
782 已开始证书服务还原。
783 已完成证书服务还原。
784 证书服务已经开始。
785 证书服务已经停止。
786 证书服务更改的安全权限。
787 证书服务检索了存档密钥。
788 证书服务将证书导入数据库中。
789 证书服务更改的审核筛选。
790 证书服务收到证书申请。
791 证书服务批准了证书申请并颁发了证书。
792 证书服务拒绝证书申请。
793 证书服务将证书申请状态设为挂起。
794 证书服务更改的证书管理器设置
795 证书服务更改的配置项。
796 证书服务更改属性。
797 证书服务存档了密钥。
798 证书服务导入和存档了密钥。
799 证书服务将证书发行机构（CA）证书发行到Active Directory。
800 从证书数据库删除一行或多行。
801 角色分隔被启用。

审核策略更改事件
608 用户权限已被分配。
609 用户权限已被删除。
610 与另一个域的信任关系已被创建。
611 与另一个域的信任关系已被删除。
612 审核策略已被更改。
613 Internet协议安全性（IPSec）策略代理已经启动。
614 IPSec策略代理已被禁用。
615 IPSec策略代理已被更改。
616 IPSec策略代理遇到一个潜在的严重问题。
617 Kerberos 5.0版策略已被更改。
618 经过加密的数据恢复策略已更改。
620 与另一个域的信任关系已被修改。
621 系统访问权限已被授予帐号。
622 系统访问权限已从帐号中删除。
623 审核策略以对等用户为单位进行设置。
625 审核策略以对等用户为单位进行刷新。
768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明：当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时，它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
769 添加了受信任的森林信息。说明：这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录，生成的所有事件消息都将被分配一个相同且唯一标识符（称作操作编号）。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
770 删除了受信任的森林信息。说明：查看编号为769的事件描述。
771 修改了受信任的森林信息。说明：查看编号为769的事件描述。
805 事件日志服务读取针对会话的安权限使用事件


权限使用事件
576 特定权限已被添加到用户访问令牌中。说明：这种事件将在用户登录时产生。
577 用户试图执行受到权限保护的系统服务操作。
578 在已经处于打开状态的受保护对象句柄上使用权限。


详细跟踪事件
592 已经创建新的过程。
593 已经退出某过程。
594 对象的句柄被重复
595 已经取得对象的间接访问权。
596 数据保护主密钥备份。说明：主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统（EFS）所使用。这种主密钥将在每次创建新增主密钥时予以备份。（缺省设置为90天。）密钥备份操作通常由域控制器执行。
597 数据保护主密钥已由恢复服务器恢复完毕。
598 审核数据已得到保护。
599 审核数据保护已取消。
600 分派给进程一个主令牌。
601 用户尝试安装服务。
602 一个计划作业已被创建。


面向审核系统事件的系统事件消息
512 正在启动 Windows。
513 Windows 正在关机。
514 本地安全机制机构已加载身份验证数据包。
515 受信任的登录过程已经在本地安全机制机构注册。
516 用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。
517 审核日志已经清除。
518 安全帐户管理器已经加载通知数据包。
519 一个过程正在试图通过无效本地过程调用（LPC）端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520 系统时间已更改。说明：这种审核操作通常成对出现。

上一页  [1] [2]