计算机管理的事件id,这几个事件id是什么问题???

最新推荐文章于 2024-06-27 15:14:31 发布
转载 最新推荐文章于 2024-06-27 15:14:31 发布 · 3.5k 阅读 · 0
文章标签:

#计算机管理的事件id

本文档汇总了系统及应用程序级别的错误与警告日志,包括.NET Runtime编译失败、mmc.exe异常、Winlogon通知延迟、WMI安全提示、Kerberos认证问题、时间同步故障、NFS服务器配置缺失、LDAP身份验证错误、虚拟存储过滤器禁用、打印机删除通知、硬件检测服务通知及DNS解析错误等关键事件。

日志名称:          Application

来源:            .NET Runtime Optimization Service

日期:            2013/7/17 14:00:08

事件 ID:         1101

任务类别:          无

级别:            错误

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

.NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Failed to compile: Microsoft.GroupPolicy.Targeting.Interop, Version=2.0.0.0, Culture=Neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=x86 . Error code = 0x800700b6

事件 Xml:

1101

2

0

0x80000000000000

171

Application

WIN-5D94LJKLCVL.ne.net

.NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Failed to compile: Microsoft.GroupPolicy.Targeting.Interop, Version=2.0.0.0, Culture=Neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=x86 . Error

code = 0x800700b6

Microsoft.GroupPolicy.Targeting.Interop, Version=2.0.0.0, Culture=Neutral, PublicKeyToken=31bf3856ad364e35, processorArchitecture=x86

日志名称:          Application

来源:            Application Error

日期:            2013/7/17 13:52:47

事件 ID:         1000

任务类别:          (100)

级别:            错误

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

错误应用程序 mmc.exe,版本 6.0.6002.18005,时间戳 0x49e01c0a,错误模块 kernel32.dll,版本 6.0.6002.18005,时间戳 0x49e037dd,异常代码 0x00000000,错误偏移量 0x0003fbae, 进程 ID 0x978,应用程序启动时间 0x01ce82b0a2cfbfc9。

事件 Xml:

1000

2

100

0x80000000000000

170

Application

WIN-5D94LJKLCVL.ne.net

mmc.exe

6.0.6002.18005

49e01c0a

kernel32.dll

6.0.6002.18005

49e037dd

00000000

0003fbae

978

01ce82b0a2cfbfc9

日志名称:          Application

来源:            Microsoft-Windows-Winlogon

日期:            2013/7/17 10:13:40

事件 ID:         6006

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

winlogon 通知订户 耗费了 82 秒钟时间处理此通知事件(CreateSession)。

事件 Xml:

6006

0

3

0

0

0x80000000000000

136

Application

WIN-5D94LJKLCVL.ne.net

GPClient

82

CreateSession

61C0A800

日志名称:          Application

来源:            Microsoft-Windows-Winlogon

日期:            2013/7/17 10:13:17

事件 ID:         6005

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

winlogon 通知订户 正在长时间处理此通知事件(CreateSession)。

事件 Xml:

6005

0

3

0

0

0x80000000000000

127

Application

WIN-5D94LJKLCVL.ne.net

GPClient

CreateSession

C8070201

日志名称:          Application

来源:            Microsoft-Windows-WMI

日期:            2013/7/17 9:51:26

事件 ID:         63

任务类别:          无

级别:            警告

关键字:           经典

用户:            SYSTEM

计算机:           WIN-5D94LJKLCVL

说明:

A provider, WmiPerfClass, has been registered in the Windows Management Instrumentation namespace root\cimv2 to use the LocalSystem account. This account is privileged and the provider may cause a security violation if it does not correctly impersonate user

requests.

事件 Xml:

63

0

3

0

0

0x80000000000000

82

Application

WIN-5D94LJKLCVL

WmiPerfClass

root\cimv2

日志名称:          System

来源:            Microsoft-Windows-Kerberos-Key-Distribution-Center

日期:            2013/7/22 5:35:21

事件 ID:         29

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。

事件 Xml:

29

0

3

0

0

0x80000000000000

20085

System

WIN-5D94LJKLCVL.ne.net

日志名称:          System

来源:            Microsoft-Windows-Time-Service

日期:            2013/7/20 17:35:49

事件 ID:         36

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

时间服务尚未同步系统时间 86400 秒钟,原因是没有任何时间服务提供程序提供可用的时间戳。只有与时间源同步,时间服务才会更新本地系统时间。如果将本地系统配置为用作客户端的时间服务器,它将停止作为时间源向客户端进行公布。时间服务将继续重试,并与其时间源进行同步。有关详细信息,请查看其他 Win32 时间事件的系统事件日志。运行“W32tm /resync”强制执行即时时间同步。

事件 Xml:

36

0

3

0

0

0x80000000000000

20077

System

WIN-5D94LJKLCVL.ne.net

86400

日志名称:          System

来源:            NfsServer

日期:            2013/7/19 17:35:51

事件 ID:         1006

任务类别:          无

级别:            错误

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

NFS 服务器未配置为 Active Directory 查找或用户名映射。

如果没有 Active Directory 查找或用户名映射,则 NFS 服务器无法授予用户文件访问权限。

请使用 Nfsadmin 命令行工具配置 NFS 服务器的 Active Directory 查找或用户名映射。

事件 Xml:

1006

2

0

0x80000000000000

19986

System

WIN-5D94LJKLCVL.ne.net

\Device\NfsSvr

000000000100000000000000EE0300C0000000000201000001000000000000000000000000000000

日志名称:          System

来源:            Microsoft-Windows-Time-Service

日期:            2013/7/19 17:35:49

事件 ID:         12

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

时间提供程序 NtpClient: 此机器配置为用域层级确定它的时间源,但它已经是在林的根目录域的 AD PDC 仿真,因此在域层级没有机器在它上面以用作时间源。建议您在根域上配置一个可靠的时间服务,或者手动配置 AD PDC 与外部时间源同步。否则,此机器将在域层级中作为权威的时间源。如果没有为此计算机配置或使用外部时间源,您可以选择禁用 NtpClient。

事件 Xml:

12

0

3

0

0

0x80000000000000

19981

System

WIN-5D94LJKLCVL.ne.net

日志名称:          System

来源:            LsaSrv

日期:            2013/7/19 17:35:47

事件 ID:         40960

任务类别:          (3)

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

安全系统检测到一个对服务器 ldap/WIN-5D94LJKLCVL.ne.net 的身份验证错误。来自身份验证协议Kerberos 的失败代码为 "目前没有可用的登录服务器处理登录请求。

(0xc000005e)"。

事件 Xml:

40960

3

3

0x80000000000000

19978

System

WIN-5D94LJKLCVL.ne.net

ldap/WIN-5D94LJKLCVL.ne.net

Kerberos

"目前没有可用的登录服务器处理登录请求。

(0xc000005e)"

5E0000C0

日志名称:          System

来源:            storflt

日期:            2013/7/19 17:33:59

事件 ID:         5

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

The Virtual Storage Filter Driver is disabled through the registry. It is inactive for all disk drives.

事件 Xml:

5

3

0

0x80000000000000

19964

System

WIN-5D94LJKLCVL.ne.net

00000000010000000000000005000680000000000000000000000000000000000000000000000000

日志名称:          System

来源:            Microsoft-Windows-PrintSpooler

日期:            2013/7/19 17:33:02

事件 ID:         4

任务类别:          无

级别:            警告

关键字:           经典

用户:            SYSTEM

计算机:           WIN-5D94LJKLCVL.ne.net

说明:

打印机 Microsoft XPS Document Writer#:1 将被删除。不需要用户操作。

若要停止记录打印后台处理程序的警告事件,请在“控制面板”中打开“打印机”,右键单击窗口的一块空白区域,单击“以管理员身份运行”,单击“服务器”属性,单击“高级”选项卡,然后清除记录后台处理程序警告事件复选框。

事件 Xml:

4

0

3

0

0

0x80000000000000

19950

System

WIN-5D94LJKLCVL.ne.net

Microsoft XPS Document Writer#:1

日志名称:          System

来源:            PlugPlayManager

日期:            2013/7/17 9:37:21

事件 ID:         263

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           37L4247I06-10

说明:

服务“ShellHWDetection”在停止前可能未取消注册设备事件通知。

事件 Xml:

263

3

0

0x80000000000000

10

System

37L4247I06-10

ShellHWDetection

日志名称:          System

来源:            Microsoft-Windows-Time-Service

日期:            2013/7/17 9:37:25

事件 ID:         134

任务类别:          无

级别:            警告

关键字:           经典

用户:            暂缺

计算机:           37L4247I06-10

说明:

NtpClient 无法将手动对等设置为用作时间源,因为“time.windows.com,0x9”上出现 DNS 解析错误。NtpClient 将在 15 分钟后重试,此后重试间隔增加一倍。错误为: 不知道这样的主机。 (0x80072AF9)

事件 Xml:

134

0

3

0

0

0x80000000000000

13

System

37L4247I06-10

不知道这样的主机。 (0x80072AF9)

15

time.windows.com,0x9

嘉乐Mr.Maple
关注
Win10 开机很快,一到输入密码后在欢迎界面一直转圈大约1分50秒才进桌面
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
01-29 4万+
环景: Win10 专业版 20H 系统盘是固态硬盘 问题描述: 开机很快,一到输入密码后在欢迎界面一直转圈大约1分50秒才进桌面 解决方案: 1.进入安全模式,禁用一些开机启动项,卸载一些更新。(未解决) 2.sfc /scannow 扫描修复系统文件,chkdsk /r c: 检查修复系统盘。(未解决) 3.进入cmd终端框,输入netsh winsock reset,然后重启电脑。(未解决) 4.打开事件查看器-应用程序-winlogon通知订户 耗费了104秒钟时间处理此通知事件(Logon),找
Windows安全日志分析(事件ID详解)
墨痕诉清风的博客
09-19 2万+
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
服务器显示sys off,从 Office 2007 或 Office 2003 运行 Microsoft 系统信息程序时显示事件 ID 63...
weixin_30058099的博客
08-09 1465
更多信息WMI 提供程序子系统基于各个提供程序要求的安全级别在特定 COM 服务器上运行它们。只有管理员才能注册提供程序并配置其要求的安全级别,并且仅应将受信任的提供程序配置为使用 LocalSystem 帐户。此警告事件的行为类似于审核记录,表明正在使用 LocalSystem 帐户的权限运行提供程序。当宿主模型加载提供程序时,Windows XP SP2 中包含的一些 WMI 更改可帮助减少这...
windows事件查看器-事件id大全
qq_56313338的博客
08-25 1万+
windows事件查看器,事件id(1-10112)对应的含义
windows安全事件ID编号解释大全
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
【react】什么是fiber?fiber解决了什么问题?从源码角度深入了解fiber运行机制与diff执行
行星飞行的博客
07-03 1万+
我在[react] 什么是虚拟dom?虚拟dom比操作原生dom要快吗?虚拟dom是如何转变成真实dom并渲染到页面的?一文中,介绍了虚拟的概念,以及中虚拟的使用场景。那么按照之前的约定,本文来聊聊中另一个非常重要的概念,也就是。那么通过阅读本文,你将了解到如下几个知识点:同样,若文中涉及到的源码部分,我依然会使用的版本,保证文章的结论不会过于老旧;其次,的概念理解起来其实比较枯燥,但我会尽量描述的通俗易懂一点,那么本文开始。我们学习任何东西,一定会经历两个阶段,一是这个东西是什么?二是这个东西有什么用(解
无法找到来自源 nvlddmkm 的事件 ID 14 的描述
SeventhBlue
12-01 5万+
具体错误是: 无法找到来自源 nvlddmkm 的事件 ID 14 的描述。本地计算机上未安装引发此事件的组件,或者安装已损坏。可以安装或修复本地计算机上的组件。 出现这样错误的原因有很多了,有可能是硬件有可能是软件。由于我是刚配置的电脑,起初非常怀疑是自己组装的问题,折腾了好久,心态爆炸!!!先说我报这样错误的情况,以及解决办法,供后面人参考。 ...
什么是 Azure OpenAI?
gongdiwudu的专栏
06-27 3176
关于openAI大模型如何使用?Azure OpenAI 是一套 AI 服务,允许你对数据应用自然语言算法,而无需任何数学、数据科学或机器学习的先验知识。它可以帮助您使应用更加智能,而无需为自然语言编写实际代码。
深入解析Windows安全日志事件ID4625:登录失败原因分析
当发生事件ID4625时,日志会提供以下几个关键信息点: 1. **主题**:此部分指明了尝试登录的用户或服务主体。如果为空或者显示为NULLSID,可能意味着登录尝试没有明确的用户身份。 2. **登录类型**:这说明了登录...
2023,程序员的出路在哪里?
热门推荐
AI天才研究院
02-05 20万+
可是似乎从30岁开始这工资就没涨过,前面跳槽几次涨的薪水在30岁以后跳槽已经不管用了、定格了,这几年由于市场环境不景气,程序员竞争越来越激烈,36岁跟30拿的工资一模一样,不仅工资拿的一样,反而事情还越来越多了,这些都意味着什么?处理故障需要的通常不仅仅是写代码的能力,还需要对一个系统的全貌要有一定的掌握。虽然目前不少大型互联网企业都在进行结构性调整,但是从互联网行业发展的基本面来看,未来在产业互联网发展的过程中,IT行业和传统行业将会释放出大量的就业岗位,所以未来程序员的发展空间还是非常值得期待的。
Windows安全事件ID汇总
AcceptedLin的博客
05-27 2410
Windows安全事件ID汇总
Windows事件ID大全
bcbobo21cn的专栏
03-17 1万+
windows事件id
应急响应 | Windows事件ID及解释大全
.
09-10 1万+
0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足,无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20
Win2003系统日志,时间服务有 86400 秒没有与系统时间同步
weixin_33806914的博客
08-01 968
Win2003系统日志内有一些来源为:W32Time,事件ID为:36,事件描述为:时间服务有 86400 秒没有与系统时间同步,因为没有一个时间服务提供程序 提供可用的时间戳。时间服务将不再是同步的,也不能为其它客户端提供 时间或者更新系统时钟。请查看事件查看器中显示的系统事件,以确认没有发生更严重的问题。WinXP和Win2003系统的时间同步更新频率默认为7天,对于Wi...
计算机管理员改时间,电脑系统时间修改的问题
weixin_39947501的博客
07-09 3808
您好!感谢您的回复,我们查看了一下该事件发生前后的事件,具体如下:信息2018/9/30 17:24:04 Service Control Manager7036无Multimedia Class Scheduler 服务处于正在运行 状态。信息2018/9/30 17:28:22 Service Control Manager 7036无Windo...
WinLogon事件通知包
博客转移到个人主站,请大家移步 http://www.soskp.com/
12-12 1775
        首先我们要了解一下WinLogon,他是负责提供给用户交互式界面的一个程序。<br />        WinLogon初始化时会创建3个桌面:<br />(1)、winlogon桌面:主要显示window 安全等界面,如你按下CTRL+ALT+DEL,登陆的界面等<br />(2)、应用程序桌面:我们平时见到的那个有我的电脑的界面(这个大家都见过了吧,呵呵)<br />(3)、屏幕保护桌面:屏幕保护显示界面。 <br />        Winlogon通知包(Winlogon Notif
使用WMI来连接远端计算机
灰太狼的博客
09-09 5700
1. wmi连接前提利用wmi来连接远端计算机首先要具有远端计算机管理员的用户名和密码。如果计算机在域中的话,要有域管理员用户名和密码,或者是把域帐户加入本机管理员组中也可以。2. 相关类的用法--- ConnectionOptions和ManagementScopeConnectionOptions用于设置连接选项,比如设置所连接机器的域,用户名,密码等。ManagementScop
win11 事件id125是什么意思
最新发布
08-28
<think>嗯,用户想了解Windows 11系统中事件ID 125的含义。这是一个非常具体的系统日志问题,需要准确的技术解释。 首先回忆Windows事件日志的基本结构:事件ID是系统记录特定活动的代码,125这个ID在Windows 11中确实存在固定含义。根据微软官方文档,这个ID与BitLocker加密功能直接相关。 用户可能遇到了系统日志中的警告提示,需要明确解释。重点要说明: - 事件本质:BitLocker加密过程的常规通知 - 触发场景:系统启动时TPM芯片验证 - 关键信息:DumpType值决定日志类型 考虑到用户的技术水平,需要避免过于晦涩的术语。同时要强调该事件通常属于正常行为,但需结合其他日志判断。用户如果看到这个日志频繁出现,可能需要检查TPM状态或BitLocker配置。 最后准备补充几个常见延伸问题,比如如何查看完整日志、如何区分正常与异常情况等。用户如果对BitLocker机制不熟悉,后续可能会追问加密原理或故障排除方法。</think>Windows 11 中的 **事件 ID 125** 是 **BitLocker 驱动器加密** 相关的事件,具体含义如下: ### 事件解释 1. **核心含义**: 此事件记录发生在 **系统启动过程的早期阶段**,当 Windows 使用计算机的 **可信平台模块 (TPM)** 来验证或度量系统启动组件(如固件、引导管理器、操作系统加载程序等)的完整性时生成。它标志着 BitLocker 保护机制在启动过程中开始工作。 2. **事件来源**: * **日志名称**: `Microsoft-Windows-BitLocker-Driver-Performance/Operational` * **事件源**: `Microsoft-Windows-BitLocker-Driver` * **任务类别**: `Boot` (启动) 3. **关键信息 (事件数据)**: 事件详细信息中通常包含一个名为 `DumpType` 的值,它指示了记录的具体类型: * **`DumpType = 1`**: 表示 **启动过程度量值已成功捕获并记录到事件日志中**。这是最常见的情况,表明 TPM 正常参与了启动验证过程。 * **`DumpType = 0`**: 表示 **启动过程度量值已成功捕获,但未记录到事件日志中**(通常是为了性能优化)。这也属于正常操作的一部分。 * **其他值**: 相对少见,可能表示度量尝试失败或遇到问题。 4. **级别**: 通常是 **信息 (Information)** 级别的事件。 ### 这通常意味着什么? * **正常操作**: 在启用了 BitLocker 且计算机配备了 TPM 的 Windows 11 系统上,**每次启动时几乎都会生成事件 ID 125**。看到这个事件本身 **通常不表示错误或问题**。它是 BitLocker 安全启动过程按预期工作的一个标准日志条目。 * **BitLocker 正在工作**: 它直接证明了 BitLocker 的启动前完整性验证机制(依赖 TPM)已被触发并执行。 * **TPM 参与启动**: 它确认了 TPM 芯片在系统启动的早期阶段被 Windows 访问和使用。 ### 何时需要关注? 虽然事件 ID 125 本身通常是良性的,但**如果系统启动失败、BitLocker 意外进入恢复模式、或者你怀疑 TPM 或 BitLocker 有问题时**,查看包含事件 ID 125 的日志序列就变得很重要: 1. **结合其他事件查看**: 需要检查在事件 ID 125 之前或之后是否有其他 **错误 (Error)** 或 **警告 (Warning)** 级别的 BitLocker 事件(例如事件 ID 246, 247, 282, 286, 292 等)。这些事件更能指示具体问题(如 TPM 故障、启动组件更改、PIN/密码错误、恢复密钥触发等)。 2. **启动失败时**: 如果电脑无法启动到登录界面,查看启动日志中的事件 ID 125 及其后续事件,可能有助于诊断 BitLocker 或 TPM 相关的问题。 3. **频繁出现异常值**: 如果 `DumpType` 的值频繁出现非 0 或 1 的情况,或者伴随其他错误,可能表明 TPM 通信或度量过程存在潜在问题。 ### 总结 * **事件 ID 125 = BitLocker 启动过程完整性验证 (使用 TPM) 已开始执行**。 * **它是启用了 BitLocker + TPM 的 Windows 11 系统启动时的常规、预期事件**。 * **单独出现通常表示一切正常**。 * **诊断 BitLocker 启动问题时,它提供重要的上下文时间点,但需结合其前后的其他事件来分析根本原因**。 ```plaintext 事件 ID:125 级别:信息 来源:Microsoft-Windows-BitLocker-Driver 日志名称:Microsoft-Windows-BitLocker-Driver/Operational 消息:BitLocker 驱动器加密:启动过程已开始。DumpType: 1 ``` [^1]: 此解释综合了微软官方文档对 BitLocker 事件日志的通用描述以及事件 ID 125 在 Windows 10/11 系统中的常见记录模式。具体事件细节可通过 Windows 事件查看器 (`eventvwr.msc`) 在 `Applications and Services Logs > Microsoft > Windows > BitLocker-Driver > Operational` 日志中查看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值