windows日志事件ID列表(604个)

大数据安全服务中心

已于 2024-06-08 04:56:32 修改

阅读量2.3k

点赞数 4

分类专栏：大数据安全文章标签：网络安全大数据安全渗透测试数据安全 splunk flink elk 工控安全 SIEM SOAR UEBA UBA EBA 大数据白帽

于 2024-06-08 04:25:30 首次发布

本文链接：https://blog.csdn.net/qq_28771127/article/details/139538190

版权

本文详细列举了604个Windows操作系统的日志事件ID，涵盖系统、应用程序、安全和设置等各类日志，对于网络安全分析、大数据安全研究、渗透测试以及数据保护等领域具有重要参考价值。通过理解这些日志事件，可以有效监控系统活动，提升安全防护能力。

摘要由CSDN通过智能技术生成

                    
   事件ID
   对应事件
  
   35
   更改时间源
  
   36
   时间同步失败
  
   37
   时间同步正常
  
   41
   表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。
  
   134
   当出现时间同步源DNS解析失败时会出现此事件ID。
  
   512
   Windows启动事件
  
   513
   Windows关机事件
  
   515
   受信任的登录过程已经在本地安全机构注册
  
   516
   审核失败事件
  
   517
   清除安全事件日志事件
  
   518
   安全帐户管理器已加载通知数据包
  
   519
   进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入
  
   520
   更改系统时间事件
  
   521
   无法记录事件
  
   528
   登录成功事件
  
   529
   登录失败事件-用户名未知或密码错误
  
   530
   登录失败事件-时间限制
  
   531
   登录失败事件-帐户当前已禁用
  
   532
   登录失败事件-指定用户帐户已过期
  
   533
   登录失败事件-不允许用户由此计算机登录
  
   534
   登录失败事件-不允许该登录类型
  
   535
   登录失败事件-指定帐户的密码已过期
  
   536
   登录失败事件-NetLogon组件未激活
  
   537
   登录失败-由于其他原因登录尝试失败
  
   538
   用户注销事件
  
   539
   登录失败-试图登录时该帐户已锁定
  
   540
   登录成功事件
  
   553
   检测到重放攻击事件
  
   560
   准许对现有对象的访问
  
   560
   拒绝对现有对象的访问事件
  
   562
   指向对象的句柄已关闭
  
   563
   试图打开一个对象并打算将其删除
  
   564
   受保护对象已删除
  
   565
   访问权限已授予现有的对象类型
  
   566
   发生了一般对象操作
  
   567
   与使用的句柄关联的权限
  
   568
   尝试创建已审核文件的硬链接事件
  
   574
   对象权限被修改
  
   576
   对新登录指派特殊特权
  
   592
   创建新进程事件
  
   592
   创建新流程事件
  
   600
   对进程指派了主令牌事件
  
   601
   用户尝试安装服务事件
  
   602
   创建计划的作业事件
  
   608
   指派了用户帐户特权
  
   609
   移除了用户帐户特权
  
   610
   创建删除或修改了与另一域的信任关系
  
   611
   创建删除或修改了与另一域的信任关系
  
   612
   更改审核策略事件
  
   613
   更改IPsec策略事件
  
   614
   更改IPsec策略事件
  
   615
   更改IPsec策略事件
  
   620
   创建删除或修改了与另一域的信任关系
  
   621
   对帐户授予了系统访问权
  
   622
   从系统移除了系统访问权
  
   623
   更改审核策略事件
  
   624
   创建用户帐户事件
  
   625
   按用户刷新审核策略
  
   626
   启用了用户帐户
  
   627
   更改密码尝试事件
  
   628
   用户帐户密码设置或重置事件
  
   630
   删除用户帐户事件
  
   631
   启用了安全性的全局组更改事件
  
   632
   启用了安全性的全局组更改事件
  
   633
   启用了安全性的全局组更改事件
  
   634
   启用了安全性的全局组更改事件
  
   635
   启用了安全性的全局组更改事件
  
   636
   启用了安全性的全局组更改事件
  
   637
   启用了安全性的全局组更改事件
  
   638
   启用了安全性的全局组更改事件
  
   639
   启用了安全性的组更改事件
  
   641
   启用了安全性的组更改事件
  
   642
   更改用户帐户事件
  
   643
   更改域安全策略事件
  
   644
   帐户锁定尝试事件
  
   644
   用户帐户自动锁定事件
  
   645
   帐号及安全组策略更改事件
  
   659
   启用了安全性的通用组更改事件
  
   660
   启用了安全性的通用组更改事件
  
   661
   启用了安全性的通用组更改事件
  
   662
   启用了安全性的通用组更改事件
  
   666
   帐号及安全组策略更改事件
  
   668
   启用了安全性的组更改事件
  
   672
   已成功颁发和验证身份验证服务(AS)票证
  
   675
   预验证失败事件
  
   680
   帐户登录事件
  
   681
   登录失败-尝试进行域帐户登录事件
  
   682
   用户已重新连接至已断开的终端服务器会话
  
   683
   用户未注销就断开终端服务器会话
  
   685
   更改用户帐户名称事件
  
   698
   更改目录服务还原模式密码事件
  
   1074
   查看计算机的开机、关机、重启的时间以及原因和注释。
  
   1100
   事件记录服务已关闭
  
   1101
   审计事件已被运输中断。
  
   1102
   审核日志已清除
  
   1102
   日志清除
  
   1104
   安全日志现已满
  
   1105
   事件日志自动备份
  
   1108
   事件日志记录服务遇到错误
  
   4199
   当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。
  
   4608
   Windows正在启动
  
   4608
   Windows启动事件
  
   4609
   Windows正在关闭
  
   4609
   Windows关机事件
  
   4610
   本

事件ID	对应事件
35	更改时间源
36	时间同步失败
37	时间同步正常
41	表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。
134	当出现时间同步源DNS解析失败时会出现此事件ID。
512	Windows启动事件
513	Windows关机事件
515	受信任的登录过程已经在本地安全机构注册
516	审核失败事件
517	清除安全事件日志事件
518	安全帐户管理器已加载通知数据包
519	进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入
520	更改系统时间事件
521	无法记录事件
528	登录成功事件
529	登录失败事件-用户名未知或密码错误
530	登录失败事件-时间限制
531	登录失败事件-帐户当前已禁用
532	登录失败事件-指定用户帐户已过期
533	登录失败事件-不允许用户由此计算机登录
534	登录失败事件-不允许该登录类型
535	登录失败事件-指定帐户的密码已过期
536	登录失败事件-NetLogon组件未激活
537	登录失败-由于其他原因登录尝试失败
538	用户注销事件
539	登录失败-试图登录时该帐户已锁定
540	登录成功事件
553	检测到重放攻击事件
560	准许对现有对象的访问
560	拒绝对现有对象的访问事件
562	指向对象的句柄已关闭
563	试图打开一个对象并打算将其删除
564	受保护对象已删除
565	访问权限已授予现有的对象类型
566	发生了一般对象操作
567	与使用的句柄关联的权限
568	尝试创建已审核文件的硬链接事件
574	对象权限被修改
576	对新登录指派特殊特权
592	创建新进程事件
592	创建新流程事件
600	对进程指派了主令牌事件
601	用户尝试安装服务事件
602	创建计划的作业事件
608	指派了用户帐户特权
609	移除了用户帐户特权
610	创建删除或修改了与另一域的信任关系
611	创建删除或修改了与另一域的信任关系
612	更改审核策略事件
613	更改IPsec策略事件
614	更改IPsec策略事件
615	更改IPsec策略事件
620	创建删除或修改了与另一域的信任关系
621	对帐户授予了系统访问权
622	从系统移除了系统访问权
623	更改审核策略事件
624	创建用户帐户事件
625	按用户刷新审核策略
626	启用了用户帐户
627	更改密码尝试事件
628	用户帐户密码设置或重置事件
630	删除用户帐户事件
631	启用了安全性的全局组更改事件
632	启用了安全性的全局组更改事件
633	启用了安全性的全局组更改事件
634	启用了安全性的全局组更改事件
635	启用了安全性的全局组更改事件
636	启用了安全性的全局组更改事件
637	启用了安全性的全局组更改事件
638	启用了安全性的全局组更改事件
639	启用了安全性的组更改事件
641	启用了安全性的组更改事件
642	更改用户帐户事件
643	更改域安全策略事件
644	帐户锁定尝试事件
644	用户帐户自动锁定事件
645	帐号及安全组策略更改事件
659	启用了安全性的通用组更改事件
660	启用了安全性的通用组更改事件
661	启用了安全性的通用组更改事件
662	启用了安全性的通用组更改事件
666	帐号及安全组策略更改事件
668	启用了安全性的组更改事件
672	已成功颁发和验证身份验证服务(AS)票证
675	预验证失败事件
680	帐户登录事件
681	登录失败-尝试进行域帐户登录事件
682	用户已重新连接至已断开的终端服务器会话
683	用户未注销就断开终端服务器会话
685	更改用户帐户名称事件
698	更改目录服务还原模式密码事件
1074	查看计算机的开机、关机、重启的时间以及原因和注释。
1100	事件记录服务已关闭
1101	审计事件已被运输中断。
1102	审核日志已清除
1102	日志清除
1104	安全日志现已满
1105	事件日志自动备份
1108	事件日志记录服务遇到错误
4199	当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。
4608	Windows正在启动
4608	Windows启动事件
4609	Windows正在关闭
4609	Windows关机事件
4610	本