Категории аудита и ID основных событий Windows 2000.
| Категория | ID события | Описание |
| Audit account logon events (аудит событий регистрации с учетной записью) | 672 | Выдан билет аутентификации. |
| 673 | Выдан билет службы. |
| 674 | Обновлен выданный билет. |
| 675 | Неудачная предварительная аутентификация. |
| 676 | Неудачный запрос билета аутентификации. |
| 677 | Неудачный запрос билета службы. |
| 680 | Входная регистрация с учетной записью. |
| 681 | Неудачный запрос аутентификации NTLM. |
| Audit account management (аудит событий управления учетными записями) | 624 | Создан объект "Пользователь". |
| 630 | Удален объект "Пользователь". |
| 631 | Добавлена глобальная группа. |
| 632 | Добавлен член в глобальную группу. |
| 633 | Удален член глобальной группы. |
| 634 | Удалена глобальная группа. |
| 635 | Добавлена локальная группа. |
| 636 | Добавлен член в локальную группу. |
| 637 | Удален член локальной группы. |
| 638 | Удалена локальная группа. |
| 639 | Изменена локальная группа. |
| 641 | Изменена глобальная группа. |
| 642 | Изменен объект "Пользователь". |
| 644 | Блокирована учетная запись пользователя. |
| 645 | Добавлен объект "Компьютер". |
| 646 | Изменен объект "Компьютер". |
| 647 | Удален объект "Компьютер". |
| 658 | Добавлена универсальная группа. |
| 659 | Изменена универсальная группа. |
| 660 | Добавлен член в универсальную группу. |
| 661 | Удален член универсальной группы. |
| 662 | Удалена универсальная группа. |
| 668 | Изменен тип группы. |
| Audit directory service access (аудит доступа к службе каталогов) | 565 | Информация об объектах AD, к которым были зафиксированы обращения. |
| Audit logon events (аудит событий регистрации) | 528 | Успешная регистрация. |
| 529 | Неудачная регистрация (неизвестное имя пользователя или неверный пароль). |
| 530 | Неудачная регистрация (превышен лимит времени на регистрацию учетной записи). |
| 531 | Неудачная регистрация (учетная запись аннулирована). |
| 532 | Неудачная регистрация (завершился срок действия учетной записи). |
| 533 | Неудачная регистрация (пользователю не разрешено регистрироваться на данной машине). |
| 534 | Неудачная регистрация (пользователю не предоставлен запрошенный тип регистрации на машине). |
| 535 | Неудачная регистрация (истек срок действия пароля). |
| 537 | Неудачная регистрация (неопределенная ошибка). |
| 538 | Успешное завершение работы. |
| 539 | Неудачная регистрация (учетная запись блокирована). |
| 540 | Успешная регистрация по сети. |
| Audit object access (аудит доступа к объектам) | 560 | Объект открыт. |
| 562 | Дескриптор закрыт. |
| Audit policy change (аудит изменения политики) | 608 | Пользователю назначено полномочие. |
| 609 | Полномочие пользователя аннулировано. |
| 610 | Новый доверенный домен. |
| 611 | Удаление доверенного домена. |
| 612 | Аудит изменения политики. |
| 615 | Изменена политика IPSec (Event Viewer относит данное событие к категории Audit process tracking). |
| 616 | Агент политики IPSec столкнулся с потенциально серьезной проблемой (Event Viewer относит данное событие к категории Audit process tracking). |
| 617 | Изменена политика Kerberos. |
| 618 | Изменена политика восстановления шифрованных данных. |
| 620 | Изменена информация о доверенном домене. |
| Audit privilege use (аудит использования полномочий) | 576 | Новой учетной записи назначены специальные полномочия. |
| 577 | Вызвана привилегированная служба. |
| 578 | Привилегированная операция с объектом. |
| Audit process tracking (аудит процесса) | 592 | Создан новый процесс. |
| 593 | Процесс завершен. |
| Audit system events (аудит системных событий) | 512 | Запуск Windows NT. |
| 513 | Завершение работы Windows NT (Windows 2000 неаккуратно регистрирует данное событие). |
| 514 | Пакет аутентификации загружен службой LSA (Local Security Authority). |
| 515 | Доверенный процесс входа зарегистрирован в LSA. |
| 517 | Журнал аудита очищен. |
| 518 | SAM загрузил пакет оповещения. |