Windows安全事件ID汇总

最新推荐文章于 2025-03-14 07:44:43 发布

小布丁吃西瓜

最新推荐文章于 2025-03-14 07:44:43 发布

阅读量7.4k

点赞数 8

文章标签： windows

本文链接：https://blog.csdn.net/qq_38228830/article/details/137678183

版权

windows安全事件id汇总
Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”；或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。
日志路径：C:\Windows\System32\winevt\Logs
查看日志：Security.evtx、System.evtx、Application.evtx

常用安全事件ID:
系统：
1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。
104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。
安全：
4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。
4625，这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

安全事件ID汇总备查：

EVENT_ID 安全事件信息
1100 ----- 事件记录服务已关闭
1101 ----- 审计事件已被运输中断。
1102 ----- 审核日志已清除
1104 ----- 安全日志现已满
1105 ----- 事件日志自动备份
1108 ----- 事件日志记录服务遇到错误
4608 ----- Windows正在启动
4609 ----- Windows正在关闭
4610 ----- 本地安全机构已加载身份验证包
4611 ----- 已向本地安全机构注册了受信任的登录进程
4612 ----- 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。
4614 ----- 安全帐户管理器已加载通知包。
4615 ----- LPC端口使用无效
4616 ----- 系统时间已更改。
4618 ----- 已发生受监视的安全事件模式
4621 ----- 管理员从CrashOnAuditFail恢复了系统
4622 ----- 本地安全机构已加载安全包。
4624 ----- 帐户已成功登录
4625 ----- 帐户无法登录
4626 ----- 用户/设备声明信息
4627 ----- 集团会员信息。
4634 ----- 帐户已注销
4646 ----- IKE DoS防护模式已启动
4647 ----- 用户启动了注销
4648 ----- 使用显式凭据尝试登录
4649 ----- 检测到重播攻击
4650 ----- 建立了IPsec主模式安全关联
4651 ----- 建立了IPsec主模式安全关联
4652 ----- IPsec主模式协商失败
4653 ----- IPsec主模式协商失败
4654 ----- IPsec快速模式协商失败
4655 ----- IPsec主模式安全关联已结束
4656 ----- 请求了对象的句柄
4657 ----- 注册表值已修改
4658 ----- 对象的句柄已关闭
4659 ----- 请求删除对象的句柄
4660 ----- 对象已删除
4661 ----- 请求了对象的句柄
4662 ----- 对对象执行了操作
4663 ----- 尝试访问对象
4664 ----- 试图创建一个硬链接
4665 ----- 尝试创建应用程序客户端上下文。
4666 ----- 应用程序尝试了一个操作
4667 ----- 应用程序客户端上下文已删除
4668 ----- 应用程序已初始化
4670 ----- 对象的权限已更改
4671 ----- 应用程序试图通过TBS访问被阻止的序号
4672 ----- 分配给新登录的特权
4673 ----- 特权服务被召唤
4674 ----- 尝试对特权对象执行操作
4675 ----- SID被过滤掉了
4688 ----- 已经创建了一个新流程
4689 ----- 一个过程已经退出
4690 ----- 尝试复制对象的句柄
4691 ----- 请求间接访问对象
4692 ----- 尝试备份数据保护主密钥
4693 ----- 尝试恢复数据保护主密钥
4694 ----- 试图保护可审计的受保护数据
4695 ----- 尝试不受保护的可审计受保护数据
4696 ----- 主要令牌已分配给进程
4697 ----- 系统中安装了一项服务
4698 ----- 已创建计划任务
4699 ----- 计划任务已删除
4700 ----- 已启用计划任务
4701 ----- 计划任务已禁用
4702 ----- 计划任务已更新
4703 ----- 令牌权已经调整
4704 ----- 已分配用户权限
4705 ----- 用户权限已被删除
4706 ----- 为域创建了新的信任
4707 ----- 已删除对域的信任
4709 ----- IPsec服务已启动
4710 ----- IPsec服务已禁用
4711 ----- PAStore引擎（1％）
4712 ----- IPsec服务遇到了潜在的严重故障
4713 ----- Kerberos策略已更改
4714 ----- 加密数据恢复策略已更改
4715 ----- 对象的审核策略（SACL）已更改
4716 ----- 可信域信息已被修改
4717 ----- 系统安全访问权限已授予帐户
4718 ----- 系统安全访

最低0.47元/天解锁文章