转载windows的常见事件ID

Windows 
事件 ID

Windows Vista 事件 ID

事件类型

描述

512, 513, 514, 515, 516, 518, 519, 520

4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616

系统事件

本地系统进程，例如系统启动，关闭和系统时间的改变。

517

4612

清除的审计日志

所有审计日志清除事件

528, 540

4624

成功用户登录

所有用户登录事件

529, 530, 531, 532, 533, 534, 535, 536, 537 539

4625

登录失败

所有用户登录失败事件

538

4634

成功用户退出

所有用户退出事件

560, 562, 563, 564, 565, 566, 567, 568

4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664

对象访问

当访问一给定的对象（文件，目录等） 访问的类型(例如读，写，删除) ，访问是否成功或失败，谁实施了这一行为

612

4719

审计政策改变

审计政策的改变

624, 625, 626, 627, 628, 629, 630, 642, 644

4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740

用户帐号改变

用户帐号的改变，像用户帐号创建，删除，改变密码等等

(631 to 641) and (643, 645 to 666)

4727 to 4737, 4739 to 4762

用户组改变

对一个用户组的所有改变，例如添加或移除一个全局组或本地组，从全局组或本地添加或移除成员等等

672, 680

4768, 4776

成功用户帐号验证

当一个域用户帐号在域控制器认证时，生成用户帐号成功登录事件。

675, 681

4771, 4777

失败用户帐号验证

失败用户帐号登录事件，当一个域用户帐号在域控制器认证时 ，生成不成功用户帐号登录事件。

682, 683

4778, 4779

主机会话状态

会话重新连接或断开

文章作者：嘟嘟博客
本文地址：http://www.xiangqian.org/jishucangku/248.html