Windows事件查看器_ID一览表

事件查看器从简单的查看电脑登录信息到检查系统是否出现错误，是否被入侵都有着很重要的作用，Microsoft为了简便，采用事件ID来代表一些信息，下面是我从Microsoft找来的WIN2003的对应关系。

事件ID：517 审核日志已经清除 
事件ID：528 登陆成功 可以显示客户端连接ip地址 
事件ID：683 会话从 winstation 中断连接 可以查看客户端计算机名 
事件ID：624 创建了用户帐户 
事件ID：626 启用了用户帐户 
事件ID：627 用户密码已更改 
事件ID：628 设置了用户密码

Windows Server 2003安全事件ID分析 
根据下面的ID，可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件，究竟意味着什么事件出现了。

一、帐户登录事件

下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

672：已成功颁发和验证身份验证服务 (AS) 票证。

673：授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证，允许用户对域中的特定服务进行身份验证。

674：安全主体已更新 AS 票证或 TGS 票证。

675：预身份验证失败。用户键入错误的密码时，密钥发行中心 (KDC) 生成此事件。

676：身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

677：TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

678：帐户已成功映射到域帐户。

681：登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

682：用户已重新连接至已断开的终端服务器会话。

683：用户未注销就断开终端服务器会话。

二、帐户管理事件

下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

624：用户帐户已创建。

627：用户密码已更改。

628：用户密码已设置。

630：用户帐户已删除。

631：全局组已创建。

632：成员已添加至全局组。

633：成员已从全局组删除。

634：全局组已删除。

635：已新建本地组。

636：成员已添加至本地组。

637：成员已从本地组删除。

638：本地组已删除。

639：本地组帐户已更改。

641：全局组帐户已更改。

642：用户帐户已更改。

643：域策略已修改。

644：用户帐户被自动锁定。

645：计算机帐户已创建。

646：计算机帐户已更改。

647：计算机帐户已删除。

648：禁用安全的本地安全组已创建。

注意：

从正式名称上讲，SECURITY_DISABLED 意味着该组不能用来授权访问检查。

649：禁用安全的本地安全组已更改。