安全日志分析Windows2003server (1)

發(fā)布時(shí)間: 2012/9/10 18:18:18

網(wǎng)上看見(jiàn)的，希望和大家共享下↓】
根據(jù)下面的ID，可以幫助我們快速識(shí)別由 Microsoft? Windows Server 2003 操作系統(tǒng)生成的安全事件，究竟意味著什么事件出現(xiàn)了。
一、帳戶(hù)登錄事件
下面顯示了由“審核帳戶(hù)登錄事件”安全模板設(shè)置所生成的安全事件。
672：已成功頒發(fā)和驗(yàn)證身份驗(yàn)證服務(wù) (AS) 票證。
673：授權(quán)票證服務(wù) (TGS) 票證已授權(quán)。TGS 是由 Kerberos v5 票證授權(quán)服務(wù) (TGS) 頒發(fā)的票證，允許用戶(hù)對(duì)域中的特定服務(wù)進(jìn)行身份驗(yàn)證。
674：安全主體已更新 AS 票證或 TGS 票證。
675：預(yù)身份驗(yàn)證失敗。用戶(hù)鍵入錯(cuò)誤的密碼時(shí)，密鑰發(fā)行中心 (KDC) 生成此事件。
676：身份驗(yàn)證票證請(qǐng)求失敗。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
677：TGS 票證未被授權(quán)。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
678：帳戶(hù)已成功映射到域帳戶(hù)。
681：登錄失敗。嘗試進(jìn)行域帳戶(hù)登錄。在 Windows XP Professional 或 Windows Server 家族的成員中不生成此事件。
682：用戶(hù)已重新連接至已斷開(kāi)的終端服務(wù)器會(huì)話(huà)。
683：用戶(hù)未注銷(xiāo)就斷開(kāi)終端服務(wù)器會(huì)話(huà)。
二、帳戶(hù)管理事件
下面顯示了由“審核帳戶(hù)管理”安全模板設(shè)置所生成的安全事件。
624：用戶(hù)帳戶(hù)已創(chuàng)建。
627：用戶(hù)密碼已更改。
628：用戶(hù)密碼已設(shè)置。
630：用戶(hù)帳戶(hù)已刪除。
631：全局組已創(chuàng)建。
632：成員已添加至全局組。
633：成員已從全局組刪除。
634：全局組已刪除。
635：已新建本地組。
636：成員已添加至本地組。
637：成員已從本地組刪除。
638：本地組已刪除。
639：本地組帳戶(hù)已更改。
641：全局組帳戶(hù)已更改。
642：用戶(hù)帳戶(hù)已更改。
643：域策略已修改。
644：用戶(hù)帳戶(hù)被自動(dòng)鎖定。
645：計(jì)算機(jī)帳戶(hù)已創(chuàng)建。
646：計(jì)算機(jī)帳戶(hù)已更改。
647：計(jì)算機(jī)帳戶(hù)已刪除。
648：禁用安全的本地安全組已創(chuàng)建。
注意：
從正式名稱(chēng)上講，SECURITY_DISABLED 意味著該組不能用來(lái)授權(quán)訪(fǎng)問(wèn)檢查。
649：禁用安全的本地安全組已更改。
650：成員已添加至禁用安全的本地安全組。
651：成員已從禁用安全的本地安全組刪除。
652：禁用安全的本地組已刪除。
653：禁用安全的全局組已創(chuàng)建。
654：禁用安全的全局組已更改。
655：成員已添加至禁用安全的全局組。
656：成員已從禁用安全的全局組刪除。
657：禁用安全的全局組已刪除。
658：?jiǎn)⒂冒踩耐ㄓ媒M已創(chuàng)建。
659：?jiǎn)⒂冒踩耐ㄓ媒M已更改。
660：成員已添加至啟用安全的通用組。
661：成員已從啟用安全的通用組刪除。
662：?jiǎn)⒂冒踩耐ㄓ媒M已刪除。
663：禁用安全的通用組已創(chuàng)建。
664：禁用安全的通用組已更改。
665：成員已添加至禁用安全的通用組。
666：成員已從禁用安全的通用組刪除。
667：禁用安全的通用組已刪除。
668：組類(lèi)型已更改。
684：管理組成員的安全描述符已設(shè)置。
注意：
在域控制器上，每隔 60 分鐘，后臺(tái)線(xiàn)程就會(huì)搜索管理組的所有成員（如域、企業(yè)和架構(gòu)管理員），并對(duì)其應(yīng)用一個(gè)固定的安全描述符。該事件已記錄。
685：帳戶(hù)名稱(chēng)已更改。
三、目錄服務(wù)訪(fǎng)問(wèn)事件
下面顯示了由"審核目錄服務(wù)訪(fǎng)問(wèn)"安全模板設(shè)置所生成的安全事件。
566：發(fā)生了一般對(duì)象操作。
四、登錄事件ID
528：用戶(hù)成功登錄到計(jì)算機(jī)。
529：登錄失敗。試圖使用未知的用戶(hù)名或已知用戶(hù)名但錯(cuò)誤密碼進(jìn)行登錄。
530：登錄失敗。試圖在允許的時(shí)間外登錄。
531：登錄失敗。試圖使用禁用的帳戶(hù)登錄。
532：登錄失敗。試圖使用已過(guò)期的帳戶(hù)登錄。
533：登錄失敗。不允許登錄到指定計(jì)算機(jī)的用戶(hù)試圖登錄。
534：登錄失敗。用戶(hù)試圖使用不允許的密碼類(lèi)型登錄。
535：登錄失敗。指定帳戶(hù)的密碼已過(guò)期。
536：登錄失敗。Net Logon 服務(wù)沒(méi)有啟動(dòng)。
537：登錄失敗。由于其他原因登錄嘗試失敗。
注意：
在某些情況下，登錄失敗的原因可能是未知的。
538：用戶(hù)的注銷(xiāo)過(guò)程已完成。
539：登錄失敗。試圖登錄時(shí)，該帳戶(hù)已鎖定。
540：用戶(hù)成功登錄到網(wǎng)絡(luò)。
541：本地計(jì)算機(jī)與列出的對(duì)等客戶(hù)端身份（已建立安全關(guān)聯(lián)）之間的主要模式 Internet 密鑰交換 (IKE) 身份驗(yàn)證已完成，或者快速模式已建立了數(shù)據(jù)頻道。
542：數(shù)據(jù)頻道已終止。
543：主要模式已終止。
注意：
如果安全關(guān)聯(lián)的時(shí)間**（默認(rèn)為 8 小時(shí)）過(guò)期、策略更改或?qū)Φ冉K止，則會(huì)發(fā)生此情況。
544：由于對(duì)等客戶(hù)端沒(méi)有提供有效的證書(shū)或者簽名無(wú)效，造成主要模式身份驗(yàn)證失敗。
545：由于 Kerberos 失敗或者密碼無(wú)效，造成主要模式身份驗(yàn)證失敗。
546：由于對(duì)等客戶(hù)端發(fā)送的建議無(wú)效，造成 IKE 安全關(guān)聯(lián)建立失敗。接收到的程序包包含無(wú)效數(shù)據(jù)。
547：在 IKE 握手過(guò)程中，出現(xiàn)錯(cuò)誤。
548：登錄失敗。來(lái)自信任域的安全標(biāo)識(shí)符 (SID) 與客戶(hù)端的帳戶(hù)域 SID 不匹配。
549：登錄失敗。在林內(nèi)進(jìn)行身份驗(yàn)證時(shí)，所有與不受信任的名稱(chēng)空間相關(guān)的 SID 將被篩選出去。
550：可以用來(lái)指示可能的拒絕服務(wù) (DoS) 攻擊的通知消息。
551：用戶(hù)已啟動(dòng)注銷(xiāo)過(guò)程。
552：用戶(hù)使用明確憑據(jù)成功登錄到作為其他用戶(hù)已登錄到的計(jì)算機(jī)。
682：用戶(hù)已重新連接至已斷開(kāi)的終端服務(wù)器會(huì)話(huà)。
683：用戶(hù)還未注銷(xiāo)就斷開(kāi)終端服務(wù)器會(huì)話(huà)。注意：當(dāng)用戶(hù)通過(guò)網(wǎng)絡(luò)連接到終端服務(wù)器會(huì)話(huà)時(shí)，就會(huì)生成此事件。該事件出現(xiàn)在終端服務(wù)器上。
五、對(duì)象訪(fǎng)問(wèn)事件
下面顯示了由"審核對(duì)象訪(fǎng)問(wèn)"安全模板設(shè)置所生成的安全事件。
560：訪(fǎng)問(wèn)權(quán)限已授予現(xiàn)有的對(duì)象。
562：指向?qū)ο蟮木浔殃P(guān)閉。
563：試圖打開(kāi)一個(gè)對(duì)象并打算將其刪除。
注意：
當(dāng)在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 標(biāo)記時(shí)，此事件可以用于文件系統(tǒng)。
564：受保護(hù)對(duì)象已刪除。
565：訪(fǎng)問(wèn)權(quán)限已授予現(xiàn)有的對(duì)象類(lèi)型。
567：使用了與句柄關(guān)聯(lián)的權(quán)限。
注意：
創(chuàng)建句柄時(shí)，已授予其具體權(quán)限，如讀取、寫(xiě)入等。使用句柄時(shí)，最多為每個(gè)使用的權(quán)限生成一個(gè)審核。
568：試圖創(chuàng)建與正在審核的文件的硬鏈接。
569：授權(quán)管理器中的資源管理器試圖創(chuàng)建客戶(hù)端上下文。
570：客戶(hù)端試圖訪(fǎng)問(wèn)對(duì)象。
注意：
在此對(duì)象上發(fā)生的每個(gè)嘗試操作都將生成一個(gè)事件。
571：客戶(hù)端上下文由授權(quán)管理器應(yīng)用程序刪除。
572：Administrator Manager（管理員管理器）初始化此應(yīng)用程序。
772：證書(shū)管理器已拒絕掛起的證書(shū)申請(qǐng)。
773：證書(shū)服務(wù)已收到重新提交的證書(shū)申請(qǐng)。
774：證書(shū)服務(wù)已吊銷(xiāo)證書(shū)。
775：證書(shū)服務(wù)已收到發(fā)行證書(shū)吊銷(xiāo)列表 (CRL) 的請(qǐng)求。
776：證書(shū)服務(wù)已發(fā)行 CRL。
777：已制定證書(shū)申請(qǐng)擴(kuò)展。
778：已更改多個(gè)證書(shū)申請(qǐng)屬性。
779：證書(shū)服務(wù)已收到關(guān)機(jī)請(qǐng)求。
780：已開(kāi)始證書(shū)服務(wù)備份。
781：已完成證書(shū)服務(wù)備份。
782：已開(kāi)始證書(shū)服務(wù)還原。
783：已完成證書(shū)服務(wù)還原。
784：證書(shū)服務(wù)已開(kāi)始。
785：證書(shū)服務(wù)已停止。
786：已更改證書(shū)服務(wù)的安全權(quán)限。
787：證書(shū)服務(wù)已檢索存檔密鑰。
788：證書(shū)服務(wù)已將證書(shū)導(dǎo)入其數(shù)據(jù)庫(kù)中。
789：證書(shū)服務(wù)審核篩選已更改。
790：證書(shū)服務(wù)已收到證書(shū)申請(qǐng)。
791：證書(shū)服務(wù)已批準(zhǔn)證書(shū)申請(qǐng)并已頒發(fā)證書(shū)。
792：證書(shū)服務(wù)已拒絕證書(shū)申請(qǐng)。
793：證書(shū)服務(wù)將證書(shū)申請(qǐng)狀態(tài)設(shè)為掛起。
794：證書(shū)服務(wù)的證書(shū)管理器設(shè)置已更改。
795：證書(shū)服務(wù)中的配置項(xiàng)已更改。
796：證書(shū)服務(wù)的屬性已更改。
797：證書(shū)服務(wù)已將密鑰存檔。
798：證書(shū)服務(wù)導(dǎo)入密鑰并將其存檔。
799：證書(shū)服務(wù)已將證書(shū)頒發(fā)機(jī)構(gòu) (CA) 證書(shū)發(fā)行到 Microsoft Active Directory? 目錄服務(wù)。
800：已從證書(shū)數(shù)據(jù)庫(kù)刪除一行或多行。
801：角色分離已啟用。
六、審核策略更改事件
下面顯示了由"審核策略更改"安全模板設(shè)置所生成的安全事件。
608：已分配用戶(hù)權(quán)限。
609：用戶(hù)權(quán)限已刪除。
610：與其他域的信任關(guān)系已創(chuàng)建。
611：與其他域的信任關(guān)系已刪除。
612：審核策略已更改。
613：Internet 協(xié)議安全 (IPSec) 策略代理已啟動(dòng)。
614：IPSec 策略代理已禁用。
615：IPSec 策略代理已更改。
616：IPSec 策略代理遇到一個(gè)可能很?chē)?yán)重的故障。
617：Kerberos v5 策略已更改。
618：加密數(shù)據(jù)恢復(fù)策略已更改。
620：與其他域的信任關(guān)系已修改。
621：已授予帳戶(hù)系統(tǒng)訪(fǎng)問(wèn)權(quán)限。
622：已刪除帳戶(hù)的系統(tǒng)訪(fǎng)問(wèn)權(quán)限。
623：按用戶(hù)設(shè)置審核策略。
625：按用戶(hù)刷新審核策略。
768：檢測(cè)到兩個(gè)林的名稱(chēng)空間元素之間有沖突。
注意：
當(dāng)兩個(gè)林的名稱(chēng)空間元素重疊時(shí)，解析屬于其中一個(gè)名稱(chēng)空間元素的名稱(chēng)時(shí)，將發(fā)生歧義。這種重疊也稱(chēng)為沖突。并非所有的參數(shù)對(duì)每一項(xiàng)類(lèi)型都有效。例如，對(duì)于類(lèi)型為 TopLevelName 的項(xiàng)，有些字段無(wú)效，如 DNS 名稱(chēng)、NetBIOS 名稱(chēng)和 SID。
769：已添加受信任的林信息。
注意：
當(dāng)更新林信任信息并且添加了一個(gè)或多個(gè)項(xiàng)時(shí)，將生成此事件消息。為每個(gè)添加、刪除或修改的項(xiàng)生成一個(gè)事件消息。如果在林信任信息的一個(gè)更新中添加、刪除或修改了多個(gè)項(xiàng)，則為生成的所有事件消息指派一個(gè)唯一標(biāo)識(shí)符，稱(chēng)為操作 ID。該標(biāo)識(shí)符可以用來(lái)確定生成的多個(gè)事件消息是一個(gè)操作的結(jié)果。并非所有的參數(shù)對(duì)每一項(xiàng)類(lèi)型都有效。例如，對(duì)于類(lèi)型為 TopLevelName 的項(xiàng)，有些參數(shù)是無(wú)效的，如 DNS 名稱(chēng)、NetBIOS 名稱(chēng)和 SID。
770：已刪除受信任的林信息。
注意：
請(qǐng)參見(jiàn)事件 769 的事件描述。
771：已修改受信任的林信息。
注意：
請(qǐng)參見(jiàn)事件 769 的事件描述。
805：事件日志服務(wù)讀取會(huì)話(huà)的安全日志配置。
七、特權(quán)使用事件
下面顯示了由"審核特權(quán)使用"安全模板設(shè)置所生成的安全事件。
576：指定的特權(quán)已添加到用戶(hù)的訪(fǎng)問(wèn)令牌中。
注意：
當(dāng)用戶(hù)登錄時(shí)生成此事件。
577：用戶(hù)試圖執(zhí)行需要特權(quán)的系統(tǒng)服務(wù)操作。
578：特權(quán)用于已經(jīng)打開(kāi)的受保護(hù)對(duì)象的句柄。
八、詳細(xì)的跟蹤事件
下面顯示了由"審核過(guò)程跟蹤"安全模板設(shè)置所生成的安全事件。
592：已創(chuàng)建新進(jìn)程。
593：進(jìn)程已退出。
594：對(duì)象句柄已復(fù)制。
595：已獲取對(duì)象的間接訪(fǎng)問(wèn)權(quán)。
596：數(shù)據(jù)保護(hù)主密鑰已備份。
注意：
主密鑰用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系統(tǒng) (EFS)。每次新建主密鑰時(shí)都進(jìn)行備份。（默認(rèn)設(shè)置為 90 天。）通常由域控制器備份主密鑰。
597：數(shù)據(jù)保護(hù)主密鑰已從恢復(fù)服務(wù)器恢復(fù)。
598：審核過(guò)的數(shù)據(jù)已受保護(hù)。
599：審核過(guò)的數(shù)據(jù)未受保護(hù)。
600：已分配給進(jìn)程主令牌。
601：用戶(hù)試圖安裝服務(wù)。
602：已創(chuàng)建計(jì)劃程序任務(wù)。
九、審核系統(tǒng)事件
下面顯示了由"審核系統(tǒng)事件"安全模板設(shè)置所生成的系統(tǒng)事件。
512：Windows 正在啟動(dòng)。
513：Windows 正在關(guān)機(jī)。
514：本地安全機(jī)制機(jī)構(gòu)已加載身份驗(yàn)證數(shù)據(jù)包。
515：受信任的登錄過(guò)程已經(jīng)在本地安全機(jī)構(gòu)注冊(cè)。
516：用來(lái)列隊(duì)審核消息的內(nèi)部資源已經(jīng)用完，從而導(dǎo)致部分審核數(shù)據(jù)丟失。
517：審核日志已清除。
518：安全帳戶(hù)管理器已加載通知數(shù)據(jù)包。
519：進(jìn)程正在使用無(wú)效的本地過(guò)程調(diào)用 (LPC) 端口，試圖偽裝客戶(hù)端并向客戶(hù)端