Winserver 2008事件日志-事件ID详解

　　最近在研究服务器的安全性，发现有未知登录，然后开始研究，当然第一步是需要读懂事件日志的，winserver上的事件是按照事件ID来标示的。
　　审计目录服务访问
　　4934 - Active Directory 对象的属性被复制
　　4935 -复制失败开始
　　4936 -复制失败结束
　　5136 -目录服务对象已修改
　　5137 -目录服务对象已创建
　　5138 -目录服务对象已删除
　　5139 -目录服务对象已经移动
　　5141 -目录服务对象已删除
　　4932 -命名上下文的AD的副本同步已经开始
　　4933 -命名上下文的AD的副本同步已经结束
　　审计登录事件
　　4634 - 帐户被注销
　　4647 - 用户发起注销
　　4624 - 帐户已成功登录
　　4625 - 帐户登录失败
　　4648 - 试图使用明确的凭证登录
　　4675 - SID被过滤
　　4649 - 发现重放攻击
　　4778 -会话被重新连接到Window Station
　　4779 -会话断开连接到Window Station
　　4800 – 工作站被锁定
　　4801 - 工作站被解锁
　　4802 - 屏幕保护程序启用
　　4803 -屏幕保护程序被禁用
　　5378 所要求的凭证代表是政策所不允许的
　　5632 要求对无线网络进行验证
　　5633 要求对有线网络进行验证
　　审计对象访问
　　5140 - 网络共享对象被访问
　　4664 - 试图创建一个硬链接
　　4985 - 交易状态已经改变
　　5051 - 文件已被虚拟化
　　5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
　　4698 -计划任务已创建
　　4699 -计划任务已删除
　　4700 -计划任务已启用
　　4701 -计划任务已停用
　　4702 -计划任务已更新
　　4657 -注册表值被修改
　　5039 -注册表项被虚拟化
　　4660 -对象已删除
　　4663 -试图访问一个对象
　　审计政策变化
　　4715 - 对象上的审计政策(SACL)已经更改
　　4719 - 系统审计政策已经更改
　　4902 - Per-user审核政策表已经创建
　　4906 - CrashOnAuditFail值已经变化
　　4907 - 对象的审计设置已经更改
　　4706 - 创建到域的新信任
　　4707 - 到域的信任已经删除
　　4713 - Kerberos政策已更改
　　4716 - 信任域信息已经修改
　　4717 - 系统安全访问授予帐户
　　4718 - 系统安全访问从帐户移除
　　4864 - 名字空间碰撞被删除
　　4865 - 信任森林信息条目已添加
　　4866 - 信任森林信息条目已删除
　　4867 - 信任森林信息条目已取消
　　4704 - 用户权限已分配
　　4705 - 用户权限已移除
　　4714 - 加密数据复原政策已取消
　　4944 - 当开启Windows Firewall时下列政策启用
　　4945 - 当开启Windows Firewall时列入一个规则
　　4946 - 对Windows防火墙例外列表进行了修改，添加规则
　　4947 - 对Windows防火墙例外列表进行了修改，规则已修改
　　4948 - 对Windows防火墙例外列表进行了修改，规则已删除
　　4949 - Windows防火墙设置已恢复到默认值
　　4950 - Windows防火墙设置已更改
　　4951 - 因为主要版本号码不被Windows防火墙承认，规则已被忽视
　　4952 - 因为主要版本号码不被Windows防火墙承认，部分规则已被忽视，将执行规则的其余部分
　　4953 - 因为Windows防火墙不能解析规则，规则被忽略
　　4954 - Windows防火墙组政策设置已经更改，将使用新设置
　　4956 - Windows防火墙已经更改主动资料
　　4957 - Windows防火墙不适用于以下规则
　　4958 - 因为该规则涉及的条目没有被配置，Windows防火墙将不适用以下规则：
　　6144 - 组策略对象中的安全政策已经成功运用
　　6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
　　4670 - 对象的权限已更改
　　审计特权使用
　　4672 - 给新登录分配特权
　　4673 - 要求特权服务
　　4674 - 试图对特权对象尝试操作
　　审计系统事件
　　5024 - Windows防火墙服务已成功启动
　　5025 - Windows防火墙服务已经被停止
　　5027 - Windows防火墙服务无法从本地存储检索安全政策，该服务将继续执行目前的政策
　　5028 - Windows防火墙服务无法解析的新的安全政策，这项服务将继续执行目前的政策
　　5029 - Windows防火墙服务无法初始化的驱动程序，这项服务将继续执行目前的政策
　　5030 - Windows防火墙服务无法启动
　　5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
　　5033 - Windows防火墙驱动程序已成功启动
　　5034 - Windows防火墙驱动程序已经停止
　　5035 - Windows防火墙驱动程序未能启动
　　5037 - Windows防火墙驱动程序检测到关键运行错误，终止。
　　4608 -Windows正在启动
　　4609 - Windows正在关机
　　4616 - 系统时间被改变
　　4621 - 管理员从CrashOnAuditFail回收系统，非管理员的用户现在可以登录，有些审计活动可能没有被记录
　　4697 - 系统中安装服务器
　　4618 - 监测安全事件样式已经发生
　　想查看所有事件的完整列表，请访问微软网站：http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226
　　总结
　　微软将继续涵盖事件查看器内的安全日志中显示的额外事件，只要你使用组策略建立了你想要审计和跟踪的类别，就可以使用上述解码的事件来跟踪环境需要的事件。如果你将事件与其他技术相结合(例如订阅)，你可以创建事件的微调谐日志，以保证网络的安全。