五、对象访问事件
下面显示了由`审核对象访问`安全模板设置所生成的安全事件。
560:访问权限已授予现有的对象。
562:指向对象的句柄已关闭。
563:试图打开一个对象并打算将其删除。
注意:
当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统。
564:受保护对象已删除。
565:访问权限已授予现有的对象类型。
567:使用了与句柄关联的权限。
注意:
创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。
568:试图创建与正在审核的文件的硬链接。
569:授权管理器中的资源管理器试图创建客户端上下文。
570:客户端试图访问对象。
注意:
在此对象上发生的每个尝试操作都将生成一个事件。
571:客户端上下文由授权管理器应用程序删除。
572:Adminispator Manager(管理员管理器)初始化此应用程序。
772:证书管理器已拒绝挂起的证书申请。
773:证书服务已收到重新提交的证书申请。
774:证书服务已吊销证书。
775:证书服务已收到发行证书吊销列表 (CRL) 的请求。
776:证书服务已发行 CRL。
777:已制定证书申请扩展。
778:已更改多个证书申请属性。
779:证书服务已收到关机请求。
780:已开始证书服务备份。
781:已完成证书服务备份。
782:已开始证书服务还原。
783:已完成证书服务还原。
784:证书服务已开始。
785:证书服务已停止。
786:已更改证书服务的安全权限。
787:证书服务已检索存档密钥。
788:证书服务已将证书导入其数据库中。
789:证书服务审核筛选已更改。
790:证书服务已收到证书申请。
791:证书服务已批准证书申请并已颁发证书。
792:证书服务已拒绝证书申请。
793:证书服务将证书申请状态设为挂起。
794:证书服务的证书管理器设置已更改。
795:证书服务中的配置项已更改。
796:证书服务的属性已更改。
797:证书服务已将密钥存档。
798:证书服务导入密钥并将其存档。
799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。
800:已从证书数据库删除一行或多行。
801:角色分离已启用。
六、审核策略更改事件
下面显示了由`审核策略更改`安全模板设置所生成的安全事件。
608:已分配用户权限。
609:用户权限已删除。
610:与其他域的信任关系已创建。
611:与其他域的信任关系已删除。
612:审核策略已更改。
613:Internet 协议安全 (IPSec) 策略代理已启动。
614:IPSec 策略代理已禁用。
615:IPSec 策略代理已更改。
616:IPSec 策略代理遇到一个可能很严重的故障。
617:Kerberos v5 策略已更改。
618:加密数据恢复策略已更改。
620:与其他域的信任关系已修改。
621:已授予帐户系统访问权限。
622:已删除帐户的系统访问权限。
623:按用户设置审核策略。
625:按用户刷新审核策略。
768:检测到两个林的名称空间元素之间有冲突。
注意:
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。
769:已添加受信任的林信息。
注意:
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。
770:已删除受信任的林信息。
注意:
请参见事件 769 的事件描述。
771:已修改受信任的林信息。
注意:
请参见事件 769 的事件描述。
805:事件日志服务读取会话的安全日志配置。
下面显示了由`审核对象访问`安全模板设置所生成的安全事件。
560:访问权限已授予现有的对象。
562:指向对象的句柄已关闭。
563:试图打开一个对象并打算将其删除。
注意:
当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统。
564:受保护对象已删除。
565:访问权限已授予现有的对象类型。
567:使用了与句柄关联的权限。
注意:
创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。
568:试图创建与正在审核的文件的硬链接。
569:授权管理器中的资源管理器试图创建客户端上下文。
570:客户端试图访问对象。
注意:
在此对象上发生的每个尝试操作都将生成一个事件。
571:客户端上下文由授权管理器应用程序删除。
572:Adminispator Manager(管理员管理器)初始化此应用程序。
772:证书管理器已拒绝挂起的证书申请。
773:证书服务已收到重新提交的证书申请。
774:证书服务已吊销证书。
775:证书服务已收到发行证书吊销列表 (CRL) 的请求。
776:证书服务已发行 CRL。
777:已制定证书申请扩展。
778:已更改多个证书申请属性。
779:证书服务已收到关机请求。
780:已开始证书服务备份。
781:已完成证书服务备份。
782:已开始证书服务还原。
783:已完成证书服务还原。
784:证书服务已开始。
785:证书服务已停止。
786:已更改证书服务的安全权限。
787:证书服务已检索存档密钥。
788:证书服务已将证书导入其数据库中。
789:证书服务审核筛选已更改。
790:证书服务已收到证书申请。
791:证书服务已批准证书申请并已颁发证书。
792:证书服务已拒绝证书申请。
793:证书服务将证书申请状态设为挂起。
794:证书服务的证书管理器设置已更改。
795:证书服务中的配置项已更改。
796:证书服务的属性已更改。
797:证书服务已将密钥存档。
798:证书服务导入密钥并将其存档。
799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。
800:已从证书数据库删除一行或多行。
801:角色分离已启用。
六、审核策略更改事件
下面显示了由`审核策略更改`安全模板设置所生成的安全事件。
608:已分配用户权限。
609:用户权限已删除。
610:与其他域的信任关系已创建。
611:与其他域的信任关系已删除。
612:审核策略已更改。
613:Internet 协议安全 (IPSec) 策略代理已启动。
614:IPSec 策略代理已禁用。
615:IPSec 策略代理已更改。
616:IPSec 策略代理遇到一个可能很严重的故障。
617:Kerberos v5 策略已更改。
618:加密数据恢复策略已更改。
620:与其他域的信任关系已修改。
621:已授予帐户系统访问权限。
622:已删除帐户的系统访问权限。
623:按用户设置审核策略。
625:按用户刷新审核策略。
768:检测到两个林的名称空间元素之间有冲突。
注意:
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。
769:已添加受信任的林信息。
注意:
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。
770:已删除受信任的林信息。
注意:
请参见事件 769 的事件描述。
771:已修改受信任的林信息。
注意:
请参见事件 769 的事件描述。
805:事件日志服务读取会话的安全日志配置。
