事件ID 对应事件
35 更改时间源
36 时间同步失败
37 时间同步正常
41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。
134 当出现时间同步源DNS解析失败时会出现此事件ID。
512 Windows启动事件
513 Windows关机事件
515 受信任的登录过程已经在本地安全机构注册
516 审核失败事件
517 清除安全事件日志事件
518 安全帐户管理器已加载通知数据包
519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入
520 更改系统时间事件
521 无法记录事件
528 登录成功事件
529 登录失败事件-用户名未知或密码错误
530 登录失败事件-时间限制
531 登录失败事件-帐户当前已禁用
532 登录失败事件-指定用户帐户已过期
533 登录失败事件-不允许用户由此计算机登录
534 登录失败事件-不允许该登录类型
535 登录失败事件-指定帐户的密码已过期
536 登录失败事件-NetLogon组件未激活
537 登录失败-由于其他原因登录尝试失败
538 用户注销事件
539 登录失败-试图登录时该帐户已锁定
540 登录成功事件
553 检测到重放攻击事件
560 准许对现有对象的访问
560 拒绝对现有对象的访问事件
562 指向对象的句柄已关闭
563 试图打开一个对象并打算将其删除
564 受保护对象已删除
565 访问权限已授予现有的对象类型
566 发生了一般对象操作
567 与使用的句柄关联的权限
568 尝试创建已审核文件的硬链接事件
574 对象权限被修改
576 对新登录指派特殊特权
592 创建新进程事件
592 创建新流程事件
600 对进程指派了主令牌事件
601 用户尝试安装服务事件
602 创建计划的作业事件
608 指派了用户帐户特权
609 移除了用户帐户特权
610 创建删除或修改了与另一域的信任关系
611 创建删除或修改了与另一域的信任关系
612 更改审核策略事件
613 更改IPsec策略事件
614 更改IPsec策略事件
615 更改IPsec策略事件
620 创建删除或修改了与另一域的信任关系
621 对帐户授予了系统访问权
622 从系统移除了系统访问权
623 更改审核策略事件
624 创建用户帐户事件
625 按用户刷新审核策略
626 启用了用户帐户
627 更改密码尝试事件
628 用户帐户密码设置或重置事件
630 删除用户帐户事件
631 启用了安全性的全局组更改事件
632 启用了安全性的全局组更改事件
633 启用了安全性的全局组更改事件
634 启用了安全性的全局组更改事件
635 启用了安全性的全局组更改事件
636 启用了安全性的全局组更改事件
637 启用了安全性的全局组更改事件
638 启用了安全性的全局组更改事件
639 启用了安全性的组更改事件
641 启用了安全性的组更改事件
642 更改用户帐户事件
643 更改域安全策略事件
644 帐户锁定尝试事件
644 用户帐户自动锁定事件
645 帐号及安全组策略更改事件
659 启用了安全性的通用组更改事件
660 启用了安全性的通用组更改事件
661 启用了安全性的通用组更改事件
662 启用了安全性的通用组更改事件
666 帐号及安全组策略更改事件
668 启用了安全性的组更改事件
672 已成功颁发和验证身份验证服务(AS)票证
675 预验证失败事件
680 帐户登录事件
681 登录失败-尝试进行域帐户登录事件
682 用户已重新连接至已断开的终端服务器会话
683 用户未注销就断开终端服务器会话
685 更改用户帐户名称事件
698 更改目录服务还原模式密码事件
1074 查看计算机的开机、关机、重启的时间以及原因和注释。
1100 事件记录服务已关闭
1101 审计事件已被运输中断。
1102 审核日志已清除
1102 日志清除
1104 安全日志现已满
1105 事件日志自动备份
1108 事件日志记录服务遇到错误
4199 当发生TCP/IP地址冲突的时候出现此事件ID,用来排查用户IP网络的问题。
4608 Windows正在启动
4608 Windows启动事件
4609 Windows正在关闭
4609 Windows关机事件
4610