Windows事件日志采集
更新时间 2026-01-16 13:49:52
最近更新时间: 2026-01-16 13:49:52
本文主要介绍如何采集Windows事件日志。
您可以通过天翼云云日志服务提供的lmtagent采集器采集Windows事件日志。本文介绍如何通过日志服务控制台采集Windows事件日志。
前提条件
已经在目标Windows云主机上安装日志采集器lmtagent。
目标云主机持续产生日志。
创建步骤
登录云日志服务控制台。
左侧菜单栏点击“日志接入”,进入接入管理页面。
在“数据导入”模块中,点击“Windows事件日志”。
选择目标日志项目和日志单元,单击下一步。
在选择主机组页面,选择目标主机组。
在采集配置页面,设置事件采集规则,可以同时配置多个事件采集规则,每个采集规则的字段说明如下:
字段 说明 事件通道 指采集应用程序通道中的事件日志,包括Application、Security、Setup、System。可在Windows系统中查看通道名称信息。 采集起始点
支持设置自定义时间与全量采集。 事件ID过滤 支持正向过滤单个值(例:20)或范围(例:0-20),也支持反向过滤单个值(例:-20)。多个过滤项之间可由逗号隔开,例:1-200,-100表示采集1-200范围内除了100以外的事件日志
事件来源过滤 根据事件来源过滤日志。您可以使用半角逗号(,)指定多个事件来源名称,例如设置为App1, App2表示只采集来源名字为App1和App2的事件日志,其他事件日志都会被忽略。事件名称需为全称,默认为空,表示采集所有来源的事件。 事件等级 根据Windows事件等级过滤采集。仅支持Windows Vista及以上的操作系统。 创建索引。默认开启全文索引,您也可以根据需要手动创建字段索引用于字段查询。
点击完成,即可完成导入任务创建。等待1分钟左右,在查询日志界面能查询到日志,则说明接入成功。
附:windows日志事件ID列表
| 事件ID | 对应事件 |
|---|---|
| 35 | 更改时间源 |
| 36 | 时间同步失败 |
| 37 | 时间同步正常 |
| 41 | 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 |
| 134 | 当出现时间同步源DNS解析失败时会出现此事件ID。 |
| 512 | Windows启动事件 |
| 513 | Windows关机事件 |
| 515 | 受信任的登录过程已经在本地安全机构注册 |
| 516 | 审核失败事件 |
| 517 | 清除安全事件日志事件 |
| 518 | 安全帐户管理器已加载通知数据包 |
| 519 | 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 |
| 520 | 更改系统时间事件 |
| 521 | 无法记录事件 |
| 528 | 登录成功事件 |
| 529 | 登录失败事件-用户名未知或密码错误 |
| 530 | 登录失败事件-时间限制 |
| 531 | 登录失败事件-帐户当前已禁用 |
| 532 | 登录失败事件-指定用户帐户已过期 |
| 533 | 登录失败事件-不允许用户由此计算机登录 |
| 534 | 登录失败事件-不允许该登录类型 |
| 535 | 登录失败事件-指定帐户的密码已过期 |
| 536 | 登录失败事件-NetLogon组件未激活 |
| 537 | 登录失败-由于其他原因登录尝试失败 |
| 538 | 用户注销事件 |
| 539 | 登录失败-试图登录时该帐户已锁定 |
| 540 | 登录成功事件 |
| 553 | 检测到重放攻击事件 |
| 560 | 准许对现有对象的访问 |
| 560 | 拒绝对现有对象的访问事件 |
| 562 | 指向对象的句柄已关闭 |
| 563 | 试图打开一个对象并打算将其删除 |
| 564 | 受保护对象已删除 |
| 565 | 访问权限已授予现有的对象类型 |
| 566 | 发生了一般对象操作 |
| 567 | 与使用的句柄关联的权限 |
| 568 | 尝试创建已审核文件的硬链接事件 |
| 574 | 对象权限被修改 |
| 576 | 对新登录指派特殊特权 |
| 592 | 创建新进程事件 |
| 592 | 创建新流程事件 |
| 600 | 对进程指派了主令牌事件 |
| 601 | 用户尝试安装服务事件 |
| 602 | 创建计划的作业事件 |
| 608 | 指派了用户帐户特权 |
| 609 | 移除了用户帐户特权 |
| 610 | 创建删除或修改了与另一域的信任关系 |
| 611 | 创建删除或修改了与另一域的信任关系 |
| 612 | 更改审核策略事件 |
| 613 | 更改IPsec策略事件 |
| 614 | 更改IPsec策略事件 |
| 615 | 更改IPsec策略事件 |
| 620 | 创建删除或修改了与另一域的信任关系 |
| 621 | 对帐户授予了系统访问权 |
| 622 | 从系统移除了系统访问权 |
| 623 | 更改审核策略事件 |
| 624 | 创建用户帐户事件 |
| 625 | 按用户刷新审核策略 |
| 626 | 启用了用户帐户 |
| 627 | 更改密码尝试事件 |
| 628 | 用户帐户密码设置或重置事件 |
| 630 | 删除用户帐户事件 |
| 631 | 启用了安全性的全局组更改事件 |
| 632 | 启用了安全性的全局组更改事件 |
| 633 | 启用了安全性的全局组更改事件 |
| 634 | 启用了安全性的全局组更改事件 |
| 635 | 启用了安全性的全局组更改事件 |
| 636 | 启用了安全性的全局组更改事件 |
| 637 | 启用了安全性的全局组更改事件 |
| 638 | 启用了安全性的全局组更改事件 |
| 639 | 启用了安全性的组更改事件 |
| 641 | 启用了安全性的组更改事件 |
| 642 | 更改用户帐户事件 |
| 643 | 更改域安全策略事件 |
| 644 | 帐户锁定尝试事件 |
| 644 | 用户帐户自动锁定事件 |
| 645 | 帐号及安全组策略更改事件 |
| 659 | 启用了安全性的通用组更改事件 |
| 660 | 启用了安全性的通用组更改事件 |
| 661 | 启用了安全性的通用组更改事件 |
| 662 | 启用了安全性的通用组更改事件 |
| 666 | 帐号及安全组策略更改事件 |
| 668 | 启用了安全性的组更改事件 |
| 672 | 已成功颁发和验证身份验证服务(AS)票证 |
| 675 | 预验证失败事件 |
| 680 | 帐户登录事件 |
| 681 | 登录失败-尝试进行域帐户登录事件 |
| 682 | 用户已重新连接至已断开的终端服务器会话 |
| 683 | 用户未注销就断开终端服务器会话 |
| 685 | 更改用户帐户名称事件 |
| 698 | 更改目录服务还原模式密码事件 |
| 1074 | 查看计算机的开机、关机、重启的时间以及原因和注释。 |
| 1100 | 事件记录服务已关闭 |
| 1101 | 审计事件已被运输中断。 |
| 1102 | 审核日志已清除 |
| 1102 | 日志清除 |
| 1104 | 安全日志现已满 |
| 1105 | 事件日志自动备份 |
| 1108 | 事件日志记录服务遇到错误 |
| 4199 | 当发生TCP/IP地址冲突的时候出现此事件ID,用来排查用户IP网络的问题。 |
| 4608 | Windows正在启动 |
| 4608 | Windows启动事件 |
| 4609 | Windows正在关闭 |
| 4609 | Windows关机事件 |
| 4610 | 本地安全机构已加载身份验证包 |
| 4611 | 已向本地安全机构注册了受信任的登录进程 |
| 4611 | 受信任的登录过程已经在本地安全机构注册 |
| 4612 | 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。 |
| 4612 | 审核失败事件 |
| 4613 | 清除安全事件日志事件 |
| 4614 | 安全帐户管理器已加载通知包。 |
| 4614 | 安全帐户管理器已加载通知数据包 |
| 4615 | LPC端口使用无效 |
| 4615 | 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 |
| 4616 | 系统时间已更改。 |
| 4616 | 更改系统时间事件 |
| 4617 | 无法记录事件 |
| 4618 | 已发生受监视的安全事件模式 |
| 4621 | 管理员从CrashOnAuditFail恢复了系统 |
| 4622 | 本地安全机构已加载安全包。 |
| 4624 | 帐户已成功登录 |
| 4624 | 登录成功事件 |
| 4625 | 帐户无法登录 |
| 4625 | 登录失败事件-用户名未知或密码错误 |
| 4626 | 用户/设备声明信息 |
| 4626 | 登录失败事件-时间限制 |
| 4627 | 集团会员信息。 |
| 4628 | 登录失败事件-指定用户帐户已过期 |
| 4629 | 登录失败事件-不允许用户由此计算机登录 |
| 4630 | 登录失败事件-不允许该登录类型 |
| 4631 | 登录失败事件-指定帐户的密码已过期 |
| 4632 | 登录失败事件-NetLogon组件未激活 |
| 4633 | 登录失败-由于其他原因登录尝试失败 |
| 4634 | 帐户已注销 |
| 4634 | 用户注销事件 |
| 4635 | 登录失败-试图登录时该帐户已锁定 |
| 4636 | 登录成功事件 |
| 4646 | IKE DoS防护模式已启动 |
| 4647 | 用户启动了注销 |
| 4648 | 使用显式凭据尝试登录 |
| 4649 | 检测到重播* |
| 4649 | 检测到重放攻击事件 |
| 4650 | 建立了IPsec主模式安全关联 |
| 4651 | 建立了IPsec主模式安全关联 |
| 4652 | IPsec主模式协商失败 |
| 4653 | IPsec主模式协商失败 |
| 4654 | IPsec快速模式协商失败 |
| 4655 | IPsec主模式安全关联已结束 |
| 4656 | 请求了对象的句柄 |
| 4656 | 准许对现有对象的访问 |
| 4656 | 拒绝对现有对象的访问事件 |
| 4657 | 注册表值已修改 |
| 4658 | 对象的句柄已关闭 |
| 4658 | 指向对象的句柄已关闭 |
| 4659 | 请求删除对象的句柄 |
| 4659 | 试图打开一个对象并打算将其删除 |
| 4660 | 对象已删除 |
| 4660 | 受保护对象已删除 |
| 4661 | 请求了对象的句柄 |
| 4661 | 访问权限已授予现有的对象类型 |
| 4662 | 对对象执行了操作 |
| 4662 | 发生了一般对象操作 |
| 4663 | 尝试访问对象 |
| 4663 | 与使用的句柄关联的权限 |
| 4664 | 试图创建一个硬链接 |
| 4664 | 尝试创建已审核文件的硬链接事件 |
| 4665 | 尝试创建应用程序客户端上下文。 |
| 4666 | 应用程序尝试了一个操作 |
| 4667 | 应用程序客户端上下文已删除 |
| 4668 | 应用程序已初始化 |
| 4670 | 对象的权限已更改 |
| 4670 | 对象权限被修改 |
| 4671 | 应用程序试图通过TBS访问被阻止的序号 |
| 4672 | 分配给新登录的特权 |
| 4672 | 对新登录指派特殊特权 |
| 4673 | 特权服务被召唤 |
| 4674 | 尝试对特权对象执行操作 |
| 4675 | SID被过滤掉了 |
| 4688 | 已经创建了一个新流程 |
| 4688 | 创建新进程事件 |
| 4688 | 创建新流程事件 |
| 4689 | 一个过程已经退出 |
| 4690 | 尝试复制对象的句柄 |
| 4691 | 请求间接访问对象 |
| 4692 | 尝试备份数据保护主密钥 |
| 4693 | 尝试恢复数据保护主密钥 |
| 4694 | 试图保护可审计的受保护数据 |
| 4695 | 尝试不受保护的可审计受保护数据 |
| 4696 | 主要令牌已分配给进程 |
| 4696 | 对进程指派了主令牌事件 |
| 4697 | 系统中安装了一项服务 |
| 4697 | 用户尝试安装服务事件 |
| 4698 | 已创建计划任务 |
| 4698 | 创建计划的作业事件 |
| 4699 | 计划任务已删除 |
| 4700 | 已启用计划任务 |
| 4701 | 计划任务已禁用 |
| 4702 | 计划任务已更新 |
| 4703 | 令牌权已经调整 |
| 4704 | 已分配用户权限 |
| 4704 | 指派了用户帐户特权 |
| 4705 | 用户权限已被删除 |
| 4705 | 移除了用户帐户特权 |
| 4706 | 为域创建了新的信任 |
| 4706 | 创建删除或修改了与另一域的信任关系 |
| 4707 | 已删除对域的信任 |
| 4707 | 创建删除或修改了与另一域的信任关系 |
| 4708 | 更改审核策略事件 |
| 4709 | IPsec服务已启动 |
| 4709 | 更改IPsec策略事件 |
| 4710 | IPsec服务已禁用 |
| 4710 | 更改IPsec策略事件 |
| 4711 | PAStore引擎(1%) |
| 4711 | 更改IPsec策略事件 |
| 4712 | IPsec服务遇到了潜在的严重故障 |
| 4713 | Kerberos策略已更改 |
| 4714 | 加密数据恢复策略已更改 |
| 4715 | 对象的审核策略(SACL)已更改 |
| 4716 | 可信域信息已被修改 |
| 4716 | 创建删除或修改了与另一域的信任关系 |
| 4717 | 系统安全访问权限已授予帐户 |
| 4717 | 对帐户授予了系统访问权 |
| 4718 | 系统安全访问已从帐户中删除 |
| 4718 | 从系统移除了系统访问权 |
| 4719 | 系统审核策略已更改 |
| 4719 | 更改审核策略事件 |
| 4720 | 已创建用户帐户 |
| 4720 | 创建用户帐户事件 |
| 4721 | 按用户刷新审核策略 |
| 4722 | 用户帐户已启用 |
| 4722 | 启用了用户帐户 |
| 4723 | 尝试更改帐户的密码 |
| 4723 | 更改密码尝试事件 |
| 4724 | 尝试重置帐户密码 |
| 4724 | 用户帐户密码设置或重置事件 |
| 4725 | 用户帐户已被禁用 |
| 4725 | 帐户当前已禁用 |
| 4726 | 用户帐户已删除 |
| 4726 | 删除用户帐户事件 |
| 4727 | 已创建启用安全性的全局组 |
| 4727 | 启用了安全性的全局组更改事件 |
| 4728 | 已将成员添加到启用安全性的全局组中 |
| 4728 | 启用了安全性的全局组更改事件 |
| 4729 | 成员已从启用安全性的全局组中删除 |
| 4729 | 启用了安全性的全局组更改事件 |
| 4730 | 已删除启用安全性的全局组 |
| 4730 | 启用了安全性的全局组更改事件 |
| 4731 | 已创建启用安全性的本地组 |
| 4731 | 启用了安全性的全局组更改事件 |
| 4732 | 已将成员添加到启用安全性的本地组 |
| 4732 | 启用了安全性的全局组更改事件 |
| 4733 | 成员已从启用安全性的本地组中删除 |
| 4733 | 启用了安全性的全局组更改事件 |
| 4734 | 已删除已启用安全性的本地组 |
| 4734 | 启用了安全性的全局组更改事件 |
| 4735 | 已启用安全性的本地组已更改 |
| 4735 | 启用了安全性的组更改事件 |
| 4737 | 启用安全性的全局组已更改 |
| 4737 | 启用了安全性的组更改事件 |
| 4738 | 用户帐户已更改 |
| 4738 | 更改用户帐户事件 |
| 4739 | 域策略已更改 |
| 4739 | 更改域安全策略事件 |
| 4740 | 用户帐户已被锁定 |
| 4740 | 帐户锁定尝试事件 |
| 4740 | 用户帐户自动锁定事件 |
| 4741 | 已创建计算机帐户 |
| 4741 | 帐号及安全组策略更改事件 |
| 4742 | 计算机帐户已更改 |
| 4743 | 计算机帐户已删除 |
| 4744 | 已创建禁用安全性的本地组 |
| 4745 | 已禁用安全性的本地组已更改 |
| 4746 | 已将成员添加到已禁用安全性的本地组 |
| 4747 | 已从安全性已禁用的本地组中删除成员 |
| 4748 | 已删除安全性已禁用的本地组 |
| 4749 | 已创建一个禁用安全性的全局组 |
| 4750 | 已禁用安全性的全局组已更改 |
| 4751 | 已将成员添加到已禁用安全性的全局组中 |
| 4752 | 成员已从禁用安全性的全局组中删除 |
| 4753 | 已删除安全性已禁用的全局组 |
| 4754 | 已创建启用安全性的通用组 |
| 4755 | 启用安全性的通用组已更改 |
| 4755 | 启用了安全性的通用组更改事件 |
| 4756 | 已将成员添加到启用安全性的通用组中 |
| 4756 | 启用了安全性的通用组更改事件 |
| 4757 | 成员已从启用安全性的通用组中删除 |
| 4757 | 启用了安全性的通用组更改事件 |
| 4758 | 已删除启用安全性的通用组 |
| 4758 | 启用了安全性的通用组更改事件 |
| 4759 | 创建了一个安全禁用的通用组 |
| 4760 | 安全性已禁用的通用组已更改 |
| 4761 | 已将成员添加到已禁用安全性的通用组中 |
| 4762 | 成员已从禁用安全性的通用组中删除 |
| 4762 | 帐号及安全组策略更改事件 |
| 4763 | 已删除安全性已禁用的通用组 |
| 4764 | 组类型已更改 |
| 4764 | 启用了安全性的组更改事件 |
| 4765 | SID历史记录已添加到帐户中 |
| 4766 | 尝试将SID历史记录添加到帐户失败 |
| 4767 | 用户帐户已解锁 |
| 4768 | 请求了Kerberos身份验证票证(TGT) |
| 4768 | 已成功颁发和验证身份验证服务(AS)票证 |
| 4769 | 请求了Kerberos服务票证 |
| 4770 | 更新了Kerberos服务票证 |
| 4771 | Kerberos预身份验证失败 |
| 4771 | 预验证失败事件 |
| 4772 | Kerberos身份验证票证请求失败 |
| 4773 | Kerberos服务票证请求失败 |
| 4774 | 已映射帐户以进行登录 |
| 4775 | 无法映射帐户以进行登录 |
| 4776 | 域控制器尝试验证帐户的凭据 |
| 4776 | 帐户登录事件 |
| 4777 | 域控制器无法验证帐户的凭据 |
| 4777 | 登录失败-尝试进行域帐户登录事件 |
| 4778 | 会话重新连接到Window Station |
| 4778 | 用户已重新连接至已断开的终端服务器会话 |
| 4779 | 会话已与Window Station断开连接 |
| 4779 | 用户未注销就断开终端服务器会话 |
| 4780 | ACL是在作为管理员组成员的帐户上设置的 |
| 4781 | 帐户名称已更改 |
| 4781 | 更改用户帐户名称事件 |
| 4782 | 密码哈希帐户被访问 |
| 4783 | 创建了一个基本应用程序组 |
| 4784 | 基本应用程序组已更改 |
| 4785 | 成员已添加到基本应用程序组 |
| 4786 | 成员已从基本应用程序组中删除 |
| 4787 | 非成员已添加到基本应用程序组 |
| 4788 | 从基本应用程序组中删除了非成员。 |
| 4789 | 基本应用程序组已删除 |
| 4790 | 已创建LDAP查询组 |
| 4791 | 基本应用程序组已更改 |
| 4792 | LDAP查询组已删除 |
| 4793 | 密码策略检查API已被调用 |
| 4794 | 尝试设置目录服务还原模式管理员密码 |
| 4794 | 更改目录服务还原模式密码事件 |
| 4797 | 试图查询帐户是否存在空白密码 |
| 4798 | 枚举了用户的本地组成员身份。 |
| 4799 | 已枚举启用安全性的本地组成员身份 |
| 4800 | 工作站已锁定 |
| 4801 | 工作站已解锁 |
| 4802 | 屏幕保护程序被调用 |
| 4803 | 屏幕保护程序被解雇了 |
| 4816 | RPC在解密传入消息时检测到完整性违规 |
| 4817 | 对象的审核设置已更改。 |
| 4818 | 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 |
| 4819 | 计算机上的中央访问策略已更改 |
| 4820 | Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制 |
| 4821 | Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制 |
| 4822 | NTLM身份验证失败,因为该帐户是受保护用户组的成员 |
| 4823 | NTLM身份验证失败,因为需要访问控制限制 |
| 4824 | 使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员 |
| 4825 | 用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 |
| 4826 | 加载引导配置数据 |
| 4830 | SID历史记录已从帐户中删除 |
| 4864 | 检测到名称空间冲突 |
| 4865 | 添加了受信任的林信息条目 |
| 4866 | 已删除受信任的林信息条目 |
| 4867 | 已修改受信任的林信息条目 |
| 4868 | 证书管理器拒绝了挂起的证书请求 |
| 4869 | 证书服务收到重新提交的证书请求 |
| 4870 | 证书服务撤销了证书 |
| 4871 | 证书服务收到发布证书吊销列表(CRL)的请求 |
| 4872 | 证书服务发布证书吊销列表(CRL) |
| 4873 | 证书申请延期已更改 |
| 4874 | 一个或多个证书请求属性已更改。 |
| 4875 | 证书服务收到关闭请求 |
| 4876 | 证书服务备份已启动 |
| 4877 | 证书服务备份已完成 |
| 4878 | 证书服务还原已开始 |
| 4879 | 证书服务恢复已完成 |
| 4880 | 证书服务已启动 |
| 4881 | 证书服务已停止 |
| 4882 | 证书服务的安全权限已更改 |
| 4883 | 证书服务检索到存档密钥 |
| 4884 | 证书服务将证书导入其数据库 |
| 4885 | 证书服务的审核筛选器已更改 |
| 4886 | 证书服务收到证书请求 |
| 4887 | 证书服务批准了证书请求并颁发了证书 |
| 4888 | 证书服务拒绝了证书请求 |
| 4889 | 证书服务将证书请求的状态设置为挂起 |
| 4890 | 证书服务的证书管理器设置已更改。 |
| 4891 | 证书服务中的配置条目已更改 |
| 4892 | 证书服务的属性已更改 |
| 4893 | 证书服务存档密钥 |
| 4894 | 证书服务导入并存档了一个密钥 |
| 4895 | 证书服务将CA证书发布到Active Directory域服务 |
| 4896 | 已从证书数据库中删除一行或多行 |
| 4897 | 启用角色分离 |
| 4898 | 证书服务加载了一个模板 |
| 4899 | 证书服务模板已更新 |
| 4900 | 证书服务模板安全性已更新 |
| 4902 | 已创建每用户审核策略表 |
| 4904 | 尝试注册安全事件源 |
| 4905 | 尝试取消注册安全事件源 |
| 4906 | CrashOnAuditFail值已更改 |
| 4907 | 对象的审核设置已更改 |
| 4908 | 特殊组登录表已修改 |
| 4909 | TBS的本地策略设置已更改 |
| 4910 | TBS的组策略设置已更改 |
| 4911 | 对象的资源属性已更改 |
| 4912 | 每用户审核策略已更改 |
| 4913 | 对象的中央访问策略已更改 |
| 4928 | 建立了Active Directory副本源命名上下文 |
| 4929 | 已删除Active Directory副本源命名上下文 |
| 4930 | 已修改Active Directory副本源命名上下文 |
| 4931 | 已修改Active Directory副本目标命名上下文 |
| 4932 | 已开始同步Active Directory命名上下文的副本 |
| 4933 | Active Directory命名上下文的副本的同步已结束 |
| 4934 | 已复制Active Directory对象的属性 |
| 4935 | 复制失败开始 |
| 4936 | 复制失败结束 |
| 4937 | 从副本中删除了一个延迟对象 |
| 4944 | Windows防火墙启动时,以下策略处于活动状态 |
| 4945 | Windows防火墙启动时列出了规则 |
| 4946 | 已对Windows防火墙例外列表进行了更改。增加了一条规则 |
| 4947 | 已对Windows防火墙例外列表进行了更改。规则被修改了 |
| 4948 | 已对Windows防火墙例外列表进行了更改。规则已删除 |
| 4949 | Windows防火墙设置已恢复为默认值 |
| 4950 | Windows防火墙设置已更改 |
| 4951 | 规则已被忽略,因为Windows防火墙无法识别其主要版本号 |
| 4952 | 已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号 |
| 4953 | Windows防火墙已忽略规则,因为它无法解析规则 |
| 4954 | Windows防火墙组策略设置已更改。已应用新设置 |
| 4956 | Windows防火墙已更改活动配置文件 |
| 4957 | Windows防火墙未应用以下规则 |
| 4958 | Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目 |
| 4960 | IPsec丢弃了未通过完整性检查的入站数据包 |
| 4961 | IPsec丢弃了重放检查失败的入站数据包 |
| 4962 | IPsec丢弃了重放检查失败的入站数据包 |
| 4963 | IPsec丢弃了应该受到保护的入站明文数据包 |
| 4964 | 特殊组已分配给新登录 |
| 4965 | IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。 |
| 4976 | 在主模式协商期间,IPsec收到无效的协商数据包。 |
| 4977 | 在快速模式协商期间,IPsec收到无效的协商数据包。 |
| 4978 | 在扩展模式协商期间,IPsec收到无效的协商数据包。 |
| 4979 | 建立了IPsec主模式和扩展模式安全关联。 |
| 4980 | 建立了IPsec主模式和扩展模式安全关联 |
| 4981 | 建立了IPsec主模式和扩展模式安全关联 |
| 4982 | 建立了IPsec主模式和扩展模式安全关联 |
| 4983 | IPsec扩展模式协商失败 |
| 4984 | IPsec扩展模式协商失败 |
| 4985 | 交易状态已发生变化 |
| 5024 | Windows防火墙服务已成功启动 |
| 5025 | Windows防火墙服务已停止 |
| 5027 | Windows防火墙服务无法从本地存储中检索安全策略 |
| 5028 | Windows防火墙服务无法解析新的安全策略。 |
| 5029 | Windows防火墙服务无法初始化驱动程序 |
| 5030 | Windows防火墙服务无法启动 |
| 5031 | Windows防火墙服务阻止应用程序接受网络上的传入连接。 |
| 5032 | Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 |
| 5033 | Windows防火墙驱动程序已成功启动 |
| 5034 | Windows防火墙驱动程序已停止 |
| 5035 | Windows防火墙驱动程序无法启动 |
| 5037 | Windows防火墙驱动程序检测到严重的运行时错 终止 |
| 5038 | 代码完整性确定文件的图像哈希无效 |
| 5039 | 注册表项已虚拟化。 |
| 5040 | 已对IPsec设置进行了更改。添加了身份验证集。 |
| 5041 | 已对IPsec设置进行了更改。身份验证集已修改 |
| 5042 | 已对IPsec设置进行了更改。身份验证集已删除 |
| 5043 | 已对IPsec设置进行了更改。添加了连接安全规则 |
| 5044 | 已对IPsec设置进行了更改。连接安全规则已修改 |
| 5045 | 已对IPsec设置进行了更改。连接安全规则已删除 |
| 5046 | 已对IPsec设置进行了更改。添加了加密集 |
| 5047 | 已对IPsec设置进行了更改。加密集已被修改 |
| 5048 | 已对IPsec设置进行了更改。加密集已删除 |
| 5049 | IPsec安全关联已删除 |
| 5050 | 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE |
| 5051 | 文件已虚拟化 |
| 5056 | 进行了密码自检 |
| 5057 | 加密原语操作失败 |
| 5058 | 密钥文件操作 |
| 5059 | 密钥迁移操作 |
| 5060 | 验证操作失败 |
| 5061 | 加密操作 |
| 5062 | 进行了内核模式加密自检 |
| 5063 | 尝试了加密提供程序操作 |
| 5064 | 尝试了加密上下文操作 |
| 5065 | 尝试了加密上下文修改 |
| 5066 | 尝试了加密功能操作 |
| 5067 | 尝试了加密功能修改 |
| 5068 | 尝试了加密函数提供程序操作 |
| 5069 | 尝试了加密函数属性操作 |
| 5070 | 尝试了加密函数属性操作 |
| 5071 | Microsoft密钥分发服务拒绝密钥访问 |
| 5120 | OCSP响应程序服务已启动 |
| 5121 | OCSP响应程序服务已停止 |
| 5122 | OCSP响应程序服务中的配置条目已更改 |
| 5123 | OCSP响应程序服务中的配置条目已更改 |
| 5124 | 在OCSP Responder Service上更新了安全设置 |
| 5125 | 请求已提交给OCSP Responder Service |
| 5126 | 签名证书由OCSP Responder Service自动更新 |
| 5127 | OCSP吊销提供商成功更新了吊销信息 |
| 5136 | 目录服务对象已修改 |
| 5137 | 已创建目录服务对象 |
| 5138 | 目录服务对象已取消删除 |
| 5139 | 已移动目录服务对象 |
| 5140 | 访问了网络共享对象 |
| 5141 | 目录服务对象已删除 |
| 5142 | 添加了网络共享对象。 |
| 5143 | 网络共享对象已被修改 |
