Категории аудита и ID основных событий Windows 2000.
КатегорияID событияОписание
Audit account logon events (аудит событий регистрации с учетной записью)672Выдан билет аутентификации.
673Выдан билет службы.
674Обновлен выданный билет.
675Неудачная предварительная аутентификация.
676Неудачный запрос билета аутентификации.
677Неудачный запрос билета службы.
680Входная регистрация с учетной записью.
681Неудачный запрос аутентификации NTLM.
Audit account management (аудит событий управления учетными записями)624Создан объект "Пользователь".
630Удален объект "Пользователь".
631Добавлена глобальная группа.
632Добавлен член в глобальную группу.
633Удален член глобальной группы.
634Удалена глобальная группа.
635Добавлена локальная группа.
636Добавлен член в локальную группу.
637Удален член локальной группы.
638Удалена локальная группа.
639Изменена локальная группа.
641Изменена глобальная группа.
642Изменен объект "Пользователь".
644Блокирована учетная запись пользователя.
645Добавлен объект "Компьютер".
646Изменен объект "Компьютер".
647 Удален объект "Компьютер".
658Добавлена универсальная группа.
659Изменена универсальная группа.
660Добавлен член в универсальную группу.
661Удален член универсальной группы.
662Удалена универсальная группа.
668Изменен тип группы.
Audit directory service access (аудит доступа к службе каталогов)565Информация об объектах AD, к которым были зафиксированы обращения.
Audit logon events (аудит событий регистрации) 528Успешная регистрация.
529Неудачная регистрация (неизвестное имя пользователя или неверный пароль).
530Неудачная регистрация (превышен лимит времени на регистрацию учетной записи).
531Неудачная регистрация (учетная запись аннулирована).
532Неудачная регистрация (завершился срок действия учетной записи).
533Неудачная регистрация (пользователю не разрешено регистрироваться на данной машине).
534Неудачная регистрация (пользователю не предоставлен запрошенный тип регистрации на машине).
535Неудачная регистрация (истек срок действия пароля).
537Неудачная регистрация (неопределенная ошибка).
538Успешное завершение работы.
539Неудачная регистрация (учетная запись блокирована).
540Успешная регистрация по сети.
Audit object access (аудит доступа к объектам)560Объект открыт.
562Дескриптор закрыт.
Audit policy change (аудит изменения политики) 608Пользователю назначено полномочие.
609 Полномочие пользователя аннулировано.
610Новый доверенный домен.
611Удаление доверенного домена.
612Аудит изменения политики.
615Изменена политика IPSec (Event Viewer относит данное событие к категории Audit process tracking).
616Агент политики IPSec столкнулся с потенциально серьезной проблемой (Event Viewer относит данное событие к категории Audit process tracking).
617Изменена политика Kerberos.
618Изменена политика восстановления шифрованных данных.
620Изменена информация о доверенном домене.
Audit privilege use (аудит использования полномочий)576Новой учетной записи назначены специальные полномочия.
577Вызвана привилегированная служба.
578Привилегированная операция с объектом.
Audit process tracking (аудит процесса)592Создан новый процесс.
593Процесс завершен.
Audit system events (аудит системных событий) 512Запуск Windows NT.
513Завершение работы Windows NT (Windows 2000 неаккуратно регистрирует данное событие).
514Пакет аутентификации загружен службой LSA (Local Security Authority).
515Доверенный процесс входа зарегистрирован в LSA.
517Журнал аудита очищен.
518SAM загрузил пакет оповещения.

Поделитесь материалом с коллегами и друзьями