Категории аудита и ID основных событий Windows 2000.
Категория | ID события | Описание |
Audit account logon events (аудит событий регистрации с учетной записью) | 672 | Выдан билет аутентификации. |
673 | Выдан билет службы. |
674 | Обновлен выданный билет. |
675 | Неудачная предварительная аутентификация. |
676 | Неудачный запрос билета аутентификации. |
677 | Неудачный запрос билета службы. |
680 | Входная регистрация с учетной записью. |
681 | Неудачный запрос аутентификации NTLM. |
Audit account management (аудит событий управления учетными записями) | 624 | Создан объект "Пользователь". |
630 | Удален объект "Пользователь". |
631 | Добавлена глобальная группа. |
632 | Добавлен член в глобальную группу. |
633 | Удален член глобальной группы. |
634 | Удалена глобальная группа. |
635 | Добавлена локальная группа. |
636 | Добавлен член в локальную группу. |
637 | Удален член локальной группы. |
638 | Удалена локальная группа. |
639 | Изменена локальная группа. |
641 | Изменена глобальная группа. |
642 | Изменен объект "Пользователь". |
644 | Блокирована учетная запись пользователя. |
645 | Добавлен объект "Компьютер". |
646 | Изменен объект "Компьютер". |
647 | Удален объект "Компьютер". |
658 | Добавлена универсальная группа. |
659 | Изменена универсальная группа. |
660 | Добавлен член в универсальную группу. |
661 | Удален член универсальной группы. |
662 | Удалена универсальная группа. |
668 | Изменен тип группы. |
Audit directory service access (аудит доступа к службе каталогов) | 565 | Информация об объектах AD, к которым были зафиксированы обращения. |
Audit logon events (аудит событий регистрации) | 528 | Успешная регистрация. |
529 | Неудачная регистрация (неизвестное имя пользователя или неверный пароль). |
530 | Неудачная регистрация (превышен лимит времени на регистрацию учетной записи). |
531 | Неудачная регистрация (учетная запись аннулирована). |
532 | Неудачная регистрация (завершился срок действия учетной записи). |
533 | Неудачная регистрация (пользователю не разрешено регистрироваться на данной машине). |
534 | Неудачная регистрация (пользователю не предоставлен запрошенный тип регистрации на машине). |
535 | Неудачная регистрация (истек срок действия пароля). |
537 | Неудачная регистрация (неопределенная ошибка). |
538 | Успешное завершение работы. |
539 | Неудачная регистрация (учетная запись блокирована). |
540 | Успешная регистрация по сети. |
Audit object access (аудит доступа к объектам) | 560 | Объект открыт. |
562 | Дескриптор закрыт. |
Audit policy change (аудит изменения политики) | 608 | Пользователю назначено полномочие. |
609 | Полномочие пользователя аннулировано. |
610 | Новый доверенный домен. |
611 | Удаление доверенного домена. |
612 | Аудит изменения политики. |
615 | Изменена политика IPSec (Event Viewer относит данное событие к категории Audit process tracking). |
616 | Агент политики IPSec столкнулся с потенциально серьезной проблемой (Event Viewer относит данное событие к категории Audit process tracking). |
617 | Изменена политика Kerberos. |
618 | Изменена политика восстановления шифрованных данных. |
620 | Изменена информация о доверенном домене. |
Audit privilege use (аудит использования полномочий) | 576 | Новой учетной записи назначены специальные полномочия. |
577 | Вызвана привилегированная служба. |
578 | Привилегированная операция с объектом. |
Audit process tracking (аудит процесса) | 592 | Создан новый процесс. |
593 | Процесс завершен. |
Audit system events (аудит системных событий) | 512 | Запуск Windows NT. |
513 | Завершение работы Windows NT (Windows 2000 неаккуратно регистрирует данное событие). |
514 | Пакет аутентификации загружен службой LSA (Local Security Authority). |
515 | Доверенный процесс входа зарегистрирован в LSA. |
517 | Журнал аудита очищен. |
518 | SAM загрузил пакет оповещения. |