事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被***都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。

事件ID:517 审核日志已经清除
事件ID:528 登陆成功 可以显示客户端连接ip地址
事件ID:683 会话从 winstation 中断连接 可以查看客户端计算机名
事件ID:624 创建了用户帐户
事件ID:626 启用了用户帐户
事件ID:627 用户密码已更改
事件ID:628 设置了用户密码

Windows Server 2003安全事件ID分析
根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

一、帐户登录事件

下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

672:已成功颁发和验证身份验证服务 (AS) 票证。

673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

674:安全主体已更新 AS 票证或 TGS 票证。

675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

678:帐户已成功映射到域帐户。

681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

682:用户已重新连接至已断开的终端服务器会话。

683:用户未注销就断开终端服务器会话。

二、帐户管理事件

下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

624:用户帐户已创建。

627:用户密码已更改。

628:用户密码已设置。

630:用户帐户已删除。

631:全局组已创建。

632:成员已添加至全局组。

633:成员已从全局组删除。

634:全局组已删除。

635:已新建本地组。

636:成员已添加至本地组。

637:成员已从本地组删除。

638:本地组已删除。

639:本地组帐户已更改。

641:全局组帐户已更改。