http://support.microsoft.com/kb/977519/ko
이 페이지에서
소개
여기에서는 Windows Server 2008 R2 및 Windows 7에서 여러 가지 보안 관련 및 감사 관련 이벤트에 설명합니다. 이 문서는 또한 이러한 이벤트를 해석 하는 방법에 대 한 정보를 제공 합니다. 이러한 이벤트를 모두 보안 로그에 나타나며 보안 감사원본과 함께 기록 됩니다. 이 문서는 또한 개별 이벤트에 대 한 보다 자세한 데이터를 검색 하는 방법을 설명 합니다.
추가 정보
이 여기서 범주와 하위 범주 모든 Windows 7 및 Windows Server 2008 R2 보안 감사와 관련 된 이벤트를 나열합니다.
범주: 계정 로그온
하위 범주: 자격 증명 유효성 검사
표 축소
| ID | 메시지 |
|---|---|
| 4774 | 계정이는 로그온에 매핑 되었습니다. |
| 4775 | 로그온 계정을 매핑할 수 없습니다. |
| 4776 | 컴퓨터 계정에 대해 자격 증명의 유효성을 검사 하려고 했습니다. |
| 4777 | 도메인 컨트롤러 계정 자격 증명의 유효성을 검사 하지 못했습니다. |
하위 범주: Kerberos 인증 서비스
표 축소
| ID | 메시지 |
|---|---|
| 4768 | Kerberos 인증 티켓 (TGT) 요청 했습니다. |
| 4771 | Kerberos 사전 인증이 실패 했습니다. |
| 4772 | Kerberos 인증 티켓 요청이 실패 했습니다. |
하위 범주: Kerberos 서비스 티켓 운영
표 축소
| ID | 메시지 |
|---|---|
| 4769 | Kerberos 서비스 티켓을 요청 했습니다. |
| 4770 | Kerberos 서비스 티켓을 갱신 했습니다. |
| 4773 | Kerberos 서비스 티켓 요청이 실패 했습니다. |
범주: 계정 관리
하위 범주: 응용 프로그램 그룹 관리
표 축소
| ID | 메시지 |
|---|---|
| 4783 | 기본 응용 프로그램 그룹이 만들어졌습니다. |
| 4784 | 기본 응용 프로그램 그룹이 변경 되었습니다. |
| 4785 | 기본 응용 프로그램 그룹에 구성원이 추가 되었습니다. |
| 4786 | 기본 응용 프로그램 그룹에서 구성원이 제거 되었습니다. |
| 4787 | 비-구성원 기본 응용 프로그램 그룹에 추가 되었습니다. |
| 4788 | 비-구성원 기본 응용 프로그램 그룹에서 제거 되었습니다. |
| 4789 | 기본 응용 프로그램 그룹이 삭제 되었습니다. |
| 4790 | LDAP 쿼리 그룹을 만들었습니다. |
| 4791 | 기본 응용 프로그램 그룹이 변경 되었습니다. |
| 4792 | LDAP 쿼리 그룹 삭제 되었습니다. |
하위 범주: 컴퓨터 계정 관리
표 축소
| ID | 메시지 |
|---|---|
| 4741 | 컴퓨터 계정을 만들었습니다. |
| 4742 | 컴퓨터 계정이 변경 되었습니다. |
| 4743 | 컴퓨터 계정이 삭제 되었습니다. |
하위 범주: 메일 그룹 관리
표 축소
| ID | 메시지 |
|---|---|
| 4744 | 보안이 비활성화 된 로컬 그룹이 만들어졌습니다. |
| 4745 | 보안이 비활성화 된 로컬 그룹이 변경 되었습니다. |
| 4746 | 보안이 비활성화 된 로컬 그룹에 구성원이 추가 되었습니다. |
| 4747 | 보안이 비활성화 된 로컬 그룹에서 구성원이 제거 되었습니다. |
| 4748 | 보안이 비활성화 된 로컬 그룹이 삭제 되었습니다. |
| 4749 | 보안이 비활성화 된 글로벌 그룹이 만들어졌습니다. |
| 4750 | 보안이 비활성화 된 글로벌 그룹이 변경 되었습니다. |
| 4751 | 보안이 비활성화 된 글로벌 그룹에 구성원이 추가 되었습니다. |
| 4752 | 보안이 비활성화 된 글로벌 그룹에서 구성원이 제거 되었습니다. |
| 4753 | 보안이 비활성화 된 글로벌 그룹이 삭제 되었습니다. |
| 4759 | 보안이 비활성화 된 유니버설 그룹이 만들어졌습니다. |
| 4760 | 보안이 비활성화 된 유니버설 그룹이 변경 되었습니다. |
| 4761 | 보안이 비활성화 된 유니버설 그룹에 구성원이 추가 되었습니다. |
| 4762 | 보안이 비활성화 된 유니버설 그룹에서 구성원이 제거 되었습니다. |
하위 범주: 다른 계정 관리 이벤트
표 축소
| ID | 메시지 |
|---|---|
| 4782 | 암호 해시를 계정을 액세스 했습니다. |
| 4793 | 암호 정책 검사 API는 호출 했습니다. |
하위 범주: 보안 그룹 관리
표 축소
| ID | 메시지 |
|---|---|
| 4727 | 보안 된 글로벌 그룹이 만들어졌습니다. |
| 4728 | 보안 사용 글로벌 그룹에 구성원이 추가 되었습니다. |
| 4729 | 보안 된 글로벌 그룹에서 구성원이 제거 되었습니다. |
| 4730 | 보안 된 글로벌 그룹이 삭제 되었습니다. |
| 4731 | 보안 된 로컬 그룹이 만들어졌습니다. |
| 4732 | 보안 사용 로컬 그룹에 구성원이 추가 되었습니다. |
| 4733 | 보안 사용 로컬 그룹에서 구성원이 제거 되었습니다. |
| 4734 | 보안 된 로컬 그룹이 삭제 되었습니다. |
| 4735 | 보안 된 로컬 그룹이 변경 되었습니다. |
| 4737 | 보안 된 글로벌 그룹이 변경 되었습니다. |
| 4754 | 보안이 활성화 된 유니버설 그룹이 만들어졌습니다. |
| 4755 | 보안이 활성화 된 유니버설 그룹이 변경 되었습니다. |
| 4756 | 보안이 활성화 된 유니버설 그룹에 구성원이 추가 되었습니다. |
| 4757 | 보안이 활성화 된 유니버설 그룹에서 구성원이 제거 되었습니다. |
| 4758 | 보안이 활성화 된 유니버설 그룹이 삭제 되었습니다. |
| 4764 | 있는 그룹 형식이 변경 되었습니다. |
하위 범주: 사용자 계정 관리
표 축소
| ID | 메시지 |
|---|---|
| 4720 | 사용자 계정을 만들었습니다. |
| 4722 | 사용자 계정이 활성화 되었습니다. |
| 4723 | 계정의 암호를 변경 하려고 했습니다. |
| 4724 | 계정의 암호를 다시 설정 하려고 했습니다. |
| 4725 | 사용자 계정을 비활성화 되었습니다. |
| 4726 | 사용자 계정이 삭제 되었습니다. |
| 4738 | 사용자 계정이 변경 되었습니다. |
| 4740 | 사용자 계정이 잠겨. |
| 4765 | 계정의 SID 기록은 추가 되었습니다. |
| 4766 | 계정 SID 기록을 추가 하지 못했습니다. |
| 4767 | 사용자 계정 잠금이 해제 되었습니다. |
| 4780 | 관리자 그룹의 구성원 인 계정에 ACL 설정 되었습니다. |
| 4781 | 계정 이름이 변경 되었습니다. |
| 4794 | 디렉터리 서비스 복원 모드를 설정 하려고 했습니다. |
| 5376 | 자격 증명 관리자 자격 증명이 백업 되었습니다. |
| 5377 | 자격 증명 관리자 자격 증명은 백업에서 복원 되었습니다. |
범주: 세부 추적
하위 범주: DPAPI 작업
표 축소
| ID | 메시지 |
|---|---|
| 4692 | 데이터 보호 마스터 키를 백업 하려고 했습니다. |
| 4693 | 데이터 보호 마스터 키 복구를 시도 했습니다. |
| 4694 | 보호 된 감사 가능 데이터가 보호 하려고 했습니다. |
| 4695 | 보호 된 감사 가능 데이터가 unprotection 시도 했습니다. |
하위 범주: 프로세스 생성
표 축소
| ID | 메시지 |
|---|---|
| 4688 | 새 프로세스를 만들었습니다. |
| 4696 | 처리할 주 토큰이 할당 되었습니다. |
하위 범주: 프로세스 종료
표 축소
| ID | 메시지 |
|---|---|
| 4689 | 프로세스를 끝냈습니다. |
하위 범주: RPC 이벤트
표 축소
| ID | 메시지 |
|---|---|
| 5712 | 한 원격 프로시저 호출 (RPC) 하려고 했습니다. |
범주: DS 액세스
하위 범주: 세부 디렉터리 서비스 복제
표 축소
| ID | 메시지 |
|---|---|
| 4928 | Active Directory 복제 원본 명명 컨텍스트 설정 되었습니다. |
| 4929 | Active Directory 복제 원본 명명 컨텍스트 제거 되었습니다. |
| 4930 | Active Directory 복제 원본 명명 컨텍스트 수정 되었습니다. |
| 4931 | Active Directory 복제 대상 명명 컨텍스트를 수정 했습니다. |
| 4934 | Active Directory 개체의 특성 복제 되었습니다. |
| 4935 | 복제 실패 하기 시작합니다. |
| 4936 | 복제 오류를 종료합니다. |
| 4937 | 느린 개체가 복제 데이터베이스에서 제거 되었습니다. |
하위 범주: 디렉터리 서비스 액세스
표 축소
| ID | 메시지 |
|---|---|
| 4662 | 개체에는 작업을 수행 합니다. |
하위 범주: 디렉터리 서비스 변경
표 축소
| ID | 메시지 |
|---|---|
| 5136 | 디렉터리 서비스 개체가 수정 되었습니다. |
| 5137 | 디렉터리 서비스 개체를 만들었습니다. |
| 5138 | 디렉터리 서비스 개체가 삭제 되었습니다. |
| 5139 | 디렉터리 서비스 개체가 이동 되었습니다. |
| 5141 | 디렉터리 서비스 개체가 삭제 되었습니다. |
하위 범주: 디렉터리 서비스 복제
표 축소
| ID | 메시지 |
|---|---|
| 4932 | Active Directory 명명 컨텍스트의 복제본의 동기화가 시작 됩니다. |
| 4933 | Active Directory 명명 컨텍스트의 복제본의 동기화가 종료 되었습니다. |
범주: 로그온/로그 오프
하위 범주: IPsec 확장 모드
표 축소
| ID | 메시지 |
|---|---|
| 4978 | 확장된 모드 협상 중 IPsec 협상 잘못 된 패킷을 받았습니다. |
| 4979 | IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다. |
| 4980 | IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다. |
| 4981 | IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다. |
| 4982 | IPsec 주 모드 및 확장된 모드 보안 연결은 설정 되었습니다. |
| 4983 | IPsec 확장 모드 협상에 실패 했습니다. |
| 4984 | IPsec 확장 모드 협상에 실패 했습니다. |
하위 범주: IPsec 주 모드
표 축소
| ID | 메시지 |
|---|---|
| 4646 | IKE DoS 방지 모드를 시작 합니다. |
| 4650 | IPsec 주 모드 보안 연결을 설정 했습니다. |
| 4651 | IPsec 주 모드 보안 연결을 설정 했습니다. |
| 4652 | IPsec 주 모드 협상이 실패 합니다. |
| 4653 | IPsec 주 모드 협상이 실패 합니다. |
| 4655 | IPsec 주 모드 보안 연결이 종료 되었습니다. |
| 4976 | 주 모드 협상 중 IPsec 협상 잘못 된 패킷을 받았습니다. |
| 5049 | IPsec 보안 연결을 삭제 했습니다. |
| 5453 | IPsec 정책 에이전트 컴퓨터에서 Active Directory 저장소 IPsec 정책을 적용 합니다. |
하위 범주: IPsec 빠른 모드
표 축소
| ID | 메시지 |
|---|---|
| 4654 | IPsec 빠른 모드 협상에 실패 했습니다. |
| 4977 | 빠른 모드 협상 중 IPsec 협상 잘못 된 패킷을 받았습니다. |
| 5451 | IPsec 빠른 모드 보안 연결을 설정 했습니다. |
| 5452 | IPsec 빠른 모드 보안 연결이 종료 되었습니다. |
하위 범주: 로그 오프
표 축소
| ID | 메시지 |
|---|---|
| 4634 | 계정 로그 오프 되었습니다. |
| 4647 | 사용자 로그 오프를 시작 합니다. |
하위 범주: 로그온
표 축소
| ID | 메시지 |
|---|---|
| 4624 | 계정을은 성공적으로 로그온 했습니다. |
| 4625 | 계정에 로그온 하지 못했습니다. |
| 4648 | 명시적 자격 증명을 사용 하 여 로그온을 시도 했습니다. |
| 4675 | Sid가 필터링 되었습니다. |
하위 범주: 네트워크 정책 서버
표 축소
| ID | 메시지 |
|---|---|
| 6272 | 네트워크 정책 서버 사용자에 게 액세스 권한이 부여 됩니다. |
| 6273 | 네트워크 정책 서버 사용자에 액세스할 수 없습니다. |
| 6274 | 네트워크 정책 서버 사용자에 대 한 요청이 삭제 됩니다. |
| 6275 | 네트워크 정책 서버 사용자 계정 요청을 무시. |
| 6276 | 네트워크 정책 서버 사용자를 격리 합니다. |
| 6277 | 네트워크 정책 서버 사용자에 게 액세스 권한이 부여 되지만 호스트 정의 된 상태 정책을 충족 하지 않았습니다 때문에 시험 중에 넣습니다. |
| 6278 | 네트워크 정책 서버 호스트 정의 된 상태 정책을 충족 하기 때문에 사용자에 게 전체 액세스를 부여. |
| 6279 | 네트워크 정책 서버 반복 되는 실패 한 인증 시도 때문에 사용자 계정이 잠겼습니다. |
| 6280 | 네트워크 정책 서버 사용자 계정 잠금이 해제 됩니다. |
하위 범주: 기타 로그온/로그 오프 이벤트
표 축소
| ID | 메시지 |
|---|---|
| 4649 | 재생 공격이 검색 되었습니다. |
| 4778 | 세션 창 스테이션 다시 연결 되었습니다. |
| 4779 | 창 스테이션에서 세션 연결이 끊어졌습니다. |
| 4800 | 워크스테이션이 잠겼습니다. |
| 4801 | 워크스테이션의 잠금이 해제 되었습니다. |
| 4802 | 화면 보호기 호출 된. |
| 4803 | 화면 보호기를 해제 합니다. |
| 5378 | 요청한 자격 증명 위임 정책에 의해 허용 되었습니다. |
| 5632 | 무선 네트워크에 인증을 요청 했습니다. |
| 5633 | 유선된 네트워크에 인증을 요청 했습니다. |
하위 범주: 특수 로그온
표 축소
| ID | 메시지 |
|---|---|
| 4964 | 새 로그온에 할당 된 특별 한 그룹. |
범주: 개체 액세스
하위 범주: 응용 프로그램 생성
표 축소
| ID | 메시지 |
|---|---|
| 4665 | 응용 프로그램 클라이언트 컨텍스트를 만들려고 시도 했습니다. |
| 4666 | 응용 프로그램 작업을 시도 했습니다. |
| 4667 | 응용 프로그램 클라이언트 컨텍스트가 삭제 되었습니다. |
| 4668 | 응용 프로그램이 초기화 되었습니다. |
하위 범주: 인증 서비스
표 축소
| ID | 메시지 |
|---|---|
| 4868 | 인증서 관리자 보류 중인 인증서 요청을 거부 했습니다. |
| 4869 | 인증서 서비스에서 다시 제출 된 인증서 요청을 받았습니다. |
| 4870 | 인증서 서비스는 인증서를 해지 했습니다. |
| 4871 | 인증서 서비스에서 인증서 해지 목록 (CRL)을 게시 하도록 요청을 받았습니다. |
| 4872 | 인증서 서비스에서 인증서 해지 목록 (CRL) 게시 합니다. |
| 4873 | 인증서 요청 확장이 변경 되었습니다. |
| 4874 | 하나 이상의 인증서 요청 특성이 변경 됩니다. |
| 4875 | 인증서 서비스가 종료 요청을 받았습니다. |
| 4876 | 인증서 서비스 백업을 시작 했습니다. |
| 4877 | 인증서 서비스 백업이 완료 되었습니다. |
| 4878 | 인증서 서비스 복원이 시작 되었습니다. |
| 4879 | 인증서 서비스 복원이 완료 되었습니다. |
| 4880 | 인증서 서비스가 시작 되었습니다. |
| 4881 | 인증서 서비스를 중지 합니다. |
| 4882 | 인증서 서비스에 대 한 보안 권한을 변경 합니다. |
| 4883 | 인증서 서비스에서 보관 된 키를 검색합니다. |
| 4884 | 인증서 서비스 데이터베이스에 인증서를 가져옵니다. |
| 4885 | 인증서 서비스의 감사 필터가 변경 됩니다. |
| 4886 | 인증서 서비스에서 인증서 요청을 받았습니다. |
| 4887 | 인증서 서비스에서 인증서 요청을 승인 및 인증서를 발급 합니다. |
| 4888 | 인증서 서비스에서 인증서 요청을 거부 합니다. |
| 4889 | 인증서 서비스는 인증서 요청 상태를 보류 중으로 설정 합니다. |
| 4890 | 인증서 서비스의 인증서 관리자 설정이 변경 됩니다. |
| 4891 | 인증서 서비스에서 변경할 구성 항목입니다. |
| 4892 | 인증서 서비스의 속성이 변경 됩니다. |
| 4893 | 인증서 서비스에서 키를 저장 합니다. |
| 4894 | 인증서 서비스를 가져온 및 키 보관. |
| 4895 | 인증서 서비스는 Active Directory 도메인 서비스에 CA 인증서를 게시 했습니다. |
| 4896 | 인증서 데이터베이스에서 하나 이상의 행이 삭제 되었습니다. |
| 4897 | 역할 구분 사용: |
| 4898 | 인증서 서비스 템플릿을 로드 합니다. |
| 4899 | 인증서 서비스 템플릿이 업데이트 되었습니다. |
| 4900 | 인증서 서비스 템플릿 보안 업데이트 되었습니다. |
| 5120 | OCSP 응답자 서비스를 시작 합니다. |
| 5121 | OCSP 응답자 서비스가 중지 되었습니다. |
| 5122 | OCSP 응답자 서비스를 변경할 구성 항목입니다. |
| 5123 | OCSP 응답자 서비스를 변경할 구성 항목입니다. |
| 5124 | 보안 설정은 OCSP 응답자 서비스에 업데이트 되었습니다. |
| 5125 | 요청이는 OCSP 응답자 서비스에 제출 되었습니다. |
| 5126 | 인증서 서명 OCSP 응답자 서비스에 의해 자동으로 업데이트 되었습니다. |
| 5127 | OCSP 해지 공급자 해지 정보를 업데이트 했습니다. |
하위 범주: 자세한 파일 공유
표 축소
| ID | 메시지 |
|---|---|
| 5145 | 클라이언트가 원하는 액세스 부여할 수 있는지 여부를 확인 하려면 네트워크 공유 개체를 체크 합니다. |
하위 범주: 파일 공유
표 축소
| ID | 메시지 |
|---|---|
| 5140 | 네트워크 공유 개체를 액세스 합니다. |
| 5142 | 네트워크 공유에 개체에 추가 되었습니다. |
| 5143 | 네트워크 공유 개체가 수정 되었습니다. |
| 5144 | 네트워크 공유 개체가 삭제 되었습니다. |
| 5168 | SMB/SMB2 Spn 확인 하지 못했습니다. |
하위 범주: 파일 시스템
표 축소
| ID | 메시지 |
|---|---|
| 4664 | 하드 링크를 만들려고 했습니다. |
| 4985 | 트랜잭션 상태가 변경 되었습니다. |
| 5051 | 파일을 가상화 합니다. |
하위 범주: 플랫폼 연결 필터링
표 축소
| ID | 메시지 |
|---|---|
| 5031 | Windows 방화벽 서비스가 네트워크에서 들어오는 연결을 허용 하지 못하도록 응용 프로그램을 차단. |
| 5148 | Windows 필터링 플랫폼 DoS 공격이 검색 되었고 방어 모드입니다. 관련 된이 공격 패킷은 삭제 합니다. |
| 5149 | DoS 공격에 수그러들 고 정상적인 처리를 다시 시작 했습니다. |
| 5150 | Windows 필터링 플랫폼 패킷을 차단 했습니다. |
| 5151 | 보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단 했습니다. |
| 5154 | Windows 필터링 플랫폼 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신 하도록 허용 했습니다. |
| 5155 | 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신 하지 않도록 Windows 필터링 플랫폼 차단 했습니다. |
| 5156 | Windows 필터링 플랫폼 연결을 허용 했습니다. |
| 5157 | Windows 필터링 플랫폼 연결을 차단 했습니다. |
| 5158 | Windows 필터링 플랫폼에 로컬 포트에 바인딩하기를 사용할 수 있습니다. |
| 5159 | 로컬 포트에 바인딩하기를 Windows 필터링 플랫폼 차단 했습니다. |
하위 범주: 플랫폼 패킷 Drop 필터링
표 축소
| ID | 메시지 |
|---|---|
| 5152 | Windows 필터링 플랫폼 패킷을 차단 했습니다. |
| 5153 | 보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단 했습니다. |
하위 범주: 핸들 조작
표 축소
| ID | 메시지 |
|---|---|
| 4656 | 개체에 대 한 핸들을 요청 했습니다. |
| 4658 | 개체에 대 한 핸들이 닫혔습니다. |
| 4690 | 개체에 대 한 핸들을 복제 하려고 했습니다. |
하위 범주: 기타 개체 액세스 이벤트
표 축소
| ID | 메시지 |
|---|---|
| 4671 | Tbs를 통해 차단 된 서 수를 액세스 하려고 응용 프로그램 |
| 4691 | 개체에 대 한 간접 액세스를 요청 했습니다. |
| 4698 | 예약 된 작업을 만들었습니다. |
| 4699 | 예약 된 작업이 삭제 되었습니다. |
| 4700 | 예약된 된 작업을 사용할 수 있습니다. |
| 4701 | 예약 된 작업을 실행 하지 못했습니다. |
| 4702 | 예약 된 작업이 업데이트 되었습니다. |
| 4702 | 예약 된 작업이 업데이트 되었습니다. |
| 5888 | COM + 카탈로그에 있는 개체가 수정 되었습니다. |
| 5889 | COM + 카탈로그에서 개체가 삭제 되었습니다. |
| 5890 | 개체는 COM + 카탈로그 추가 되었습니다. |
하위 범주: 레지스트리
표 축소
| ID | 메시지 |
|---|---|
| 4657 | 레지스트리 값을 수정 했습니다. |
| 5039 | 레지스트리 키를 가상화 합니다. |
하위 범주: 특수 다용도 하위 범주
참고 해당 하위 범주를 사용 하면 모든 리소스 관리자가 다음 이벤트를 생성할 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자가 생성 될 수 있습니다. 개체 액세스: 커널 개체 및 개체 액세스: SAM 하위 범주는 하위 범주를 이러한 이벤트를 단독으로 사용 하는 예제입니다.표 축소
| ID | 메시지 |
|---|---|
| 4659 | 개체에 대 한 핸들을 삭제 하려면 의도로 요청 했습니다. |
| 4660 | 개체가 삭제 되었습니다. |
| 4661 | 개체에 대 한 핸들을 요청 했습니다. |
| 4663 | 개체에 액세스 하려고 했습니다. |
범주: 정책 변경
하위 범주: 감사 정책 변경
표 축소
| ID | 메시지 |
|---|---|
| 4715 | 개체 감사 정책 (SACL) 변경 되었습니다. |
| 4719 | 시스템 감사 정책이 변경 되었습니다. |
| 4817 | 개체에 대 한 감사 설정은 변경 했습니다. |
| 4902 | 사용자 당 감사 정책을 테이블을 만들었습니다. |
| 4904 | 보안 이벤트 소스를 등록할 했습니다. |
| 4905 | 보안 이벤트 소스를 등록 하려고 했습니다. |
| 4906 | CrashOnAuditFail 값이 변경 되었습니다. |
| 4907 | 개체에 대 한 감사 설정은 변경 했습니다. |
| 4908 | 특수 그룹 로그온 테이블을 수정입니다. |
| 4912 | 사용자별 감사 정책 변경 되었습니다. |
하위 범주: 인증 정책 변경
표 축소
| ID | 메시지 |
|---|---|
| 4706 | 새 트러스트는 도메인을 만들었습니다. |
| 4707 | 도메인에 트러스트가 제거 되었습니다. |
| 4713 | Kerberos 정책 변경 되었습니다. |
| 4716 | 트러스트 된 도메인 정보가 수정 되었습니다. |
| 4717 | 시스템 보안 액세스 계정에 부여 했습니다. |
| 4718 | 시스템 보안 액세스 계정에서 제거 되었습니다. |
| 4739 | 도메인 정책이 변경 되었습니다. |
| 4864 | 네임 스페이스 충돌이 감지 되었습니다. |
| 4865 | 트러스트 된 포리스트 정보 항목을 추가 했습니다. |
| 4866 | 트러스트 된 포리스트 정보 항목을 제거 했습니다. |
| 4867 | 트러스트 된 포리스트 정보 항목을 수정 했습니다. |
하위 범주: 인증 정책 변경
표 축소
| ID | 메시지 |
|---|---|
| 4704 | 사용자 권한이 할당 되었습니다. |
| 4705 | 사용자 권한이 제거 되었습니다. |
| 4714 | 암호화 파일 시스템 (EFS)에 대 한 데이터 복구 에이전트 그룹 정책 변경 되었습니다. 새 변경 내용이 적용 되었습니다. |
하위 범주: 필터링 플랫폼 정책 변경
표 축소
| ID | 메시지 |
|---|---|
| 4709 | IPsec 정책 에이전트 서비스가 시작 되었습니다. |
| 4710 | IPsec 정책 에이전트가 비활성화 되었습니다. |
| 4711 | 다음 중 하나를 포함할 수 있습니다.
|
| 4712 | IPsec 정책 에이전트에 잠재적인 심각한 실패가 발생 했습니다. |
| 5040 | IPsec 설정 변경 되었습니다. 인증 설정에 추가 되었습니다. |
| 5041 | IPsec 설정 변경 되었습니다. 에 인증 집합이 수정 되었습니다. |
| 5042 | IPsec 설정 변경 되었습니다. 에 인증 집합이 삭제 되었습니다. |
| 5043 | IPsec 설정 변경 되었습니다. 연결 보안 규칙이 추가 되었습니다. |
| 5044 | IPsec 설정 변경 되었습니다. 연결 보안 규칙 수정 되었습니다. |
| 5045 | IPsec 설정 변경 되었습니다. 연결 보안 규칙이 삭제 되었습니다. |
| 5046 | IPsec 설정 변경 되었습니다. 암호화 설정 추가 되었습니다. |
| 5047 | IPsec 설정 변경 되었습니다. 암호화 설정 수정 되었습니다. |
| 5048 | IPsec 설정 변경 되었습니다. 암호화 설정 삭제 되었습니다. |
| 5440 | 다음 설명선 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 했습니다. |
| 5441 | 다음 필터를 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 합니다. |
| 5442 | 다음 공급자가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 합니다. |
| 5443 | 다음 공급자 컨텍스트가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 했습니다. |
| 5444 | 다음 하위 계층 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재 했습니다. |
| 5446 | 설명선 Windows 필터링 플랫폼 변경 되었습니다. |
| 5448 | Windows 필터링 플랫폼 공급자가 변경 되었습니다. |
| 5449 | Windows 필터링 플랫폼 공급자 컨텍스트 변경 되었습니다. |
| 5450 | Windows 필터링 플랫폼 하위 레이어 변경 되었습니다. |
| 5456 | PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용 합니다. |
| 5457 | IPsec 정책 에이전트 컴퓨터에서 Active Directory 저장소 IPsec 정책을 적용 하지 못했습니다. |
| 5458 | 로컬로 적용 되는 IPsec 정책 에이전트가 Active Directory 저장소 IPsec 정책에는 컴퓨터의 복사본을 캐시 합니다. |
| 5459 | IPsec 정책 에이전트 컴퓨터에서 로컬로 캐시 된 복사본이 Active Directory 저장소 IPsec 정책 적용 하지 못했습니다. |
| 5460 | IPsec 정책 에이전트 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용 합니다. |
| 5461 | IPsec 정책 에이전트 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용 하지 못했습니다. |
| 5462 | IPsec 정책 에이전트가 컴퓨터에서 일부 활성 IPsec 정책 규칙을 적용 하지 못했습니다. IP 보안 모니터 스냅인을 사용 하 여 문제를 진단. |
| 5463 | IPsec 정책 에이전트가 활성 IPsec 정책 변경을 폴링합니다 및 검색 내용이 없습니다. |
| 5464 | IPsec 정책 에이전트가 활성 IPsec 정책 변경을 폴링합니다 변경 내용을 찾아서 적용 합니다. |
| 5465 | IPsec 정책 에이전트가 IPsec 정책을 강제로 다시 로드 하기 위한 컨트롤을 받았으며 해당 컨트롤을 성공적으로 처리 하며 |
| 5466 | IPsec 정책 에이전트가 폴링 변경 내용을 Active Directory IPsec 정책을 Active Directory에 연결할 수 없습니다, 고 대신 Active Directory IPsec 정책의 캐시 된 복사본이 사용 됩니다. 변경 된 Active Directory IPsec 정책을 적용할 수 없는 마지막 폴링 이후에. |
| 5467 | IPsec 정책 에이전트 폴링 변경 내용을 Active Directory IPsec 정책을 Active Directory에 도달와 정책에 변경 사항이 발견 될 수 있습니다 결정 합니다. Active Directory IPsec 정책의 캐시 된 복사본이 사용 되지 않습니다. |
| 5468 | IPsec 정책 에이전트가 Active Directory IPsec 정책의 변경에 대 한 조사는 Active Directory 도달할 수, 정책에 변경 및 수정 사항을 적용 확인 했습니다. Active Directory IPsec 정책의 캐시 된 복사본이 사용 되지 않습니다. |
| 5471 | IPsec 정책 에이전트가 로컬 저장소 컴퓨터에서 IPsec 정책을 로드 합니다. |
| 5472 | IPsec 정책 에이전트가 로컬 저장소 컴퓨터에서 IPsec 정책을 로드 하지 못했습니다. |
| 5473 | IPsec 정책 에이전트가 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드 합니다. |
| 5474 | IPsec 정책 에이전트가 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드 하지 못했습니다. |
| 5477 | IPsec 정책 에이전트가 빠른 모드 필터를 추가 하지 못했습니다. |
하위 범주: MPSSVC 규칙 수준 정책 변경
표 축소
| ID | 메시지 |
|---|---|
| 4944 | Windows 방화벽을 시작할 때 다음 정책을 활성 되었습니다. |
| 4945 | Windows 방화벽이 시작 될 때 규칙을 나열 했습니다. |
| 4946 | Windows 방화벽 예외 목록에 변경 되었습니다. 규칙이 추가 되었습니다. |
| 4947 | Windows 방화벽 예외 목록에 변경 되었습니다. 규칙 수정 되었습니다. |
| 4948 | Windows 방화벽 예외 목록에 변경 되었습니다. 규칙이 삭제 되었습니다. |
| 4949 | Windows 방화벽 설정은 기본 값으로 복원 되었습니다. |
| 4950 | Windows 방화벽 설정이 변경 되었습니다. |
| 4951 | Windows 방화벽 규칙을 무시는 주 버전 번호를 인식할 수 없습니다. |
| 4952 | Windows 방화벽 규칙의 부분 무시의 부 버전 번호를 인식할 수 없습니다. 규칙의 다른 부분이 적용 됩니다. |
| 4953 | Windows 방화벽 규칙을 무시 분석할 수 없습니다. |
| 4954 | Windows 방화벽 그룹 정책 설정은 변경 되었습니다 및 새 설정이 적용 되었습니다. |
| 4956 | Windows 방화벽 활성 프로 파일을 변경합니다. |
| 4957 | Windows 방화벽 규칙을 적용 하지 않았습니다. |
| 4958 | 하지이 컴퓨터에 구성 된 항목을 규칙 참조 Windows 방화벽 규칙을 적용 하지 않았습니다. |
| 5050 | 이 API 현재이 버전의 Windows에서 지원 되지 않으므로 프로그래밍 방식으로 INetFwProfile.FirewallEnabled(FALSE) 인터페이스를 호출 하 여 Windows 방화벽을 해제 하려고 거부 되었습니다. 이 버전의 Windows와 호환 되지 않는 프로그램으로 인 한 것 같습니다. 호환 되는 프로그램 버전이 있는지 해당 프로그램 제조업체에 문의 하십시오. |
하위 범주: 기타 정책 변경 이벤트
표 축소
| ID | 메시지 |
|---|---|
| 4909 | TBS에 대 한 로컬 정책 설정은 변경 했습니다. |
| 4910 | TBS에 대 한 그룹 정책 설정은 변경 했습니다. |
| 5063 | 암호화 공급자가 작업이 시도 되었습니다. |
| 5064 | 암호화 컨텍스트 작업을 시도 했습니다. |
| 5065 | 암호화 컨텍스트를 수정 하려고 했습니다. |
| 5066 | 암호화 기능이 작업이 시도 되었습니다. |
| 5067 | 암호화 기능이 수정 하려고 했습니다. |
| 5068 | 암호화 기능이 공급자 작업을 시도 했습니다. |
| 5069 | 암호화 기능이 속성 작업이 시도 되었습니다. |
| 5070 | 암호화 기능이 속성 수정 하려고 했습니다. |
| 5447 | Windows 필터링 플랫폼 필터 변경 되었습니다. |
| 6144 | 그룹 정책 개체의 보안 정책이 성공적으로 적용 되었습니다. |
| 6145 | 그룹 정책 개체의 보안 정책을 처리 하는 동안 하나 이상의 오류가 발생 했습니다. |
하위 범주: 특수 다용도 하위 범주
참고 해당 하위 범주를 사용 하면 모든 리소스 관리자가 다음 이벤트를 생성할 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자가 생성 될 수 있습니다.표 축소
| ID | 메시지 |
|---|---|
| 4670 | 개체에 사용 권한이 변경 되었습니다. |
범주: 권한 사용
하위 범주: 중요 한 권한 사용 / 비 구분 권한 사용
표 축소
| ID | 메시지 |
|---|---|
| 4672 | 새 로그온에 할당 된 권한입니다. |
| 4673 | 권한 있는 서비스가 호출 되었습니다. |
| 4674 | 권한 개체에서 작업이 시도 되었습니다. |
범주: 시스템
하위 범주: IPsec 드라이버
표 축소
| ID | 메시지 |
|---|---|
| 4960 | IPsec는 무결성 검사를 실패 한 인바운드 패킷을 삭제 합니다. 이 문제가 계속 되 면 네트워크 문제 또는 해당 패킷을이 컴퓨터로 전송 중에 수정 되는 나타냅니다. 원격 컴퓨터에서 보낸 패킷이이 컴퓨터가 받는 것과 동일한 지 확인 합니다. 이 오류는 다른 IPsec 구현이 상호 운용성 문제 나타내기도 합니다. |
| 4961 | IPsec 재생 검사에 실패 한 인바운드 패킷을 삭제 합니다. 이 문제가 계속 되 면이 컴퓨터에 대 한 재생 공격을 나타냅니다. |
| 4962 | IPsec 재생 검사에 실패 한 인바운드 패킷을 삭제 합니다. 인바운드 패킷 재생 없습니다 하도록 너무 낮은 시퀀스 번호를 했습니다. |
| 4963 | IPsec 보호 해야 하는 인바운드 일반 텍스트 패킷을 삭제 합니다. 요청 아웃 바운드 IPsec 정책을 사용 하 여 원격 컴퓨터를 구성 하는 경우이 심각 하지 않습니다 및 예상 수 있습니다. 이이 컴퓨터에 알리지 않고 IPsec 정책 변경 원격 컴퓨터에 의해 발생할 수도 있습니다. 스푸핑 공격 시도 수도 있습니다. |
| 4965 | IPsec에는 잘못 된 보안 매개 변수 색인 (SPI) 원격 컴퓨터에서 패킷을 받았습니다. 일반적으로 작동 하지 않는 하드웨어 패킷 손상 되는 원인입니다. 이러한 오류가 지속 되 면 원격 컴퓨터에서 보낸 패킷이이 컴퓨터가 받는 것과 동일한 지 확인 합니다. 이 오류는 다른 IPsec 구현이 상호 운용성 문제 나타내기도 합니다. 경우 연결을 방해 하지는 경우 다음 이러한 이벤트는 무시 됩니다. |
| 5478 | IPsec 정책 에이전트 서비스가 시작 되었습니다. |
| 5479 | IPsec 서비스가 성공적으로 종료 되었습니다. IPsec 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험 전환 또는 잠재적인 보안 위험에 컴퓨터가 노출 수 있습니다. |
| 5480 | IPsec 정책 에이전트 컴퓨터의 네트워크 인터페이스에 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스는 IPsec 필터를 적용된 하 여 제공 하는 보호 얻지 못할 수도 있기 때문에 보안 위험이 노출 합니다. IP 보안 모니터 스냅인을 사용 하 여 문제를 진단. |
| 5483 | IPsec 정책 에이전트 서비스는 RPC 서버를 초기화 하지 못했습니다. 서비스를 시작할 수 없습니다. |
| 5484 | IPsec 정책 에이전트가 심각한 오류가 및 종료 되었습니다. 이 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험 전환 또는 잠재적인 보안 위험에 컴퓨터가 노출 수 있습니다. |
| 5485 | IPsec 정책 에이전트가 네트워크 인터페이스에 대 한 플러그 앤 플레이 이벤트에서 일부 IPsec 필터를 처리 하지 못했습니다. 일부 네트워크 인터페이스는 IPsec 필터를 적용된 하 여 제공 하는 보호 얻지 못할 수도 있기 때문에 보안 위험이 노출 합니다. IP 보안 모니터 스냅인을 사용 하 여 문제를 진단. |
하위 범주: 기타 시스템 이벤트
표 축소
| ID | 메시지 |
|---|---|
| 5024 | Windows 방화벽 서비스를 시작 했습니다. |
| 5025 | Windows 방화벽 서비스가 중지 되었습니다. |
| 5027 | Windows 방화벽 서비스가 로컬 저장소에서 보안 정책을 검색할 수 없습니다. Windows 방화벽 계속 현재 정책을 적용 합니다. |
| 5028 | Windows 방화벽에서 새 보안 정책을 구문 분석할 수 없습니다. Windows 방화벽 계속 현재 정책을 적용 합니다. |
| 5029 | Windows 방화벽 서비스가 드라이버를 초기화 하지 못했습니다. Windows 방화벽 계속 현재 정책을 적용 합니다. |
| 5030 | Windows 방화벽 서비스를 시작 하지 못했습니다. |
| 5032 | Windows 방화벽 응용 프로그램을 네트워크에서 들어오는 연결을 수락에서 차단 됨을 사용자에 게 알릴 수 없습니다. |
| 5033 | Windows 방화벽 드라이버를 시작 했습니다. |
| 5034 | Windows 방화벽 드라이버를 중지 했습니다. |
| 5035 | Windows 방화벽 드라이버를 시작 하지 못했습니다. |
| 5037 | Windows 방화벽 드라이버 중요 한 런타임 오류가 종료 합니다. |
| 5058 | 키 파일 작업입니다. |
| 5059 | 키 마이그레이션 작업입니다. |
| 6400 | BranchCache: 콘텐츠의 가용성을 검색 하는 동안 잘못 된 형식의 응답을 받았습니다. |
| 6401 | BranchCache: 피어 로부터 잘못 된 데이터를 받았습니다. 데이터를 삭제 합니다. |
| 6403 | BranchCache: 호스트 캐시 클라이언트에 대 한 잘못 된 형식의 응답을 보냅니다. |
| 6404 | : BranchCache 호스트 캐시를 인증할 수 없습니다 제공된 하는 SSL 인증서를 사용 하 여. |
| 6405 | BranchCache: 이벤트 id가 %1의 %2 인스턴스가 발생 했습니다. |
| 6406 | %1 다음 필터링 컨트롤을 Windows 방화벽으로 등록 된: %2 |
| 6407 | 1% |
하위 범주: 보안 상태 변경
표 축소
| ID | 메시지 |
|---|---|
| 4608 | Windows 시작 중입니다. |
| 4616 | 시스템 시간이 변경 되었습니다. |
| 4621 | 관리자가 CrashOnAuditFail에서 시스템 복구. 관리자가 아닌 사용자가 로그온 할 때 이제 허용 됩니다. 일부 감사 가능한 작업이 기록 되지 않을 수 있습니다. |
하위 범주: 보안 시스템 확장
표 축소
| ID | 메시지 |
|---|---|
| 4610 | 로컬 보안 기관 인증 패키지를 로드 했습니다. |
| 4611 | 신뢰 된 로그온 프로세스가 로컬 보안 권한으로 등록 되었습니다. |
| 4614 | 보안 계정 관리자가 알림 패키지를 로드 했습니다. |
| 4622 | 로컬 보안 기관에 의해 보안 패키지를 로드 했습니다. |
| 4697 | 서비스는 시스템에 설치 되었습니다. |
하위 범주: 시스템 무결성
표 축소
| ID | 메시지 |
|---|---|
| 4612 | 감사 메시지 대기열에 할당 된 내부 리소스가 없으므로 일부 감사 손실. |
| 4615 | LPC 포트 사용이 잘못 되었습니다. |
| 4618 | 모니터링 되는 보안 이벤트 패턴을 발생 했습니다. |
| 4816 | RPC 들어오는 메시지의 암호를 해독 하는 동안 무결성 위반을 발견 했습니다. |
| 5038 | 코드 무결성을 파일의 이미지 해시 유효 하지 않음을 확인 했습니다. 파일이 무단된 수정으로 인해 손상 되었을 수 또는 잘못 된 해시 잠재적인 디스크 장치 오류 나타낼 수 있습니다. |
| 5056 | 암호화 자체 테스트 수행 되었습니다. |
| 5057 | 기본 암호화 작업을 실패 했습니다. |
| 5060 | 확인 작업이 실패 했습니다. |
| 5061 | 암호화 작업입니다. |
| 5062 | 커널-모드 암호화 자체 테스트 수행 되었습니다. |
| 6281 | 코드 무결성 이미지 파일의 페이지 해시가 유효한 지 확인 합니다. 파일 잘못 서명 된 페이지 해시를 없이 또는 무단된 수정으로 인해 손상 될 수 있습니다. 잘못 된 해시 잠재적인 디스크 장치 오류 나타낼 수 있습니다. |
메모
- 보다 반환 하려면 상세 목록은 모든 보안 감사 이벤트 항목을 관리자 권한으로 상승된 된 명령 프롬프트에서 다음 명령을 실행:
wevtutil Microsoft에서 Windows에서 보안 감사 gp /ge /gm:true다음 예제에서는 출력의 일부를 보여 줍니다.
event: value: 4706 version: 0 opcode: 0 channel: 10 level: 4 task: 0 keywords: 0x8000000000000000 message: A new trust was created to a domain. Subject: Security ID: %3 Account Name: %4 Account Domain: %5 Logon ID: %6 Trusted Domain: Domain Name: %1 Domain ID: %2 Trust Information: Trust Type: %7 Trust Direction: %8 Trust Attributes: %9 SID Filtering: %10 - 모든 보안 감사 범주와 하위 범주의 목록을 반환할 관리자로 상승된 된 명령 프롬프트에서 다음 명령을 실행 합니다.
auditpol /list /subcategory: *
참조
Wevtutil 유틸리티에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
Auditpol 유틸리티에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
(http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx)
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
고급 보안 감사 정책 설정 Windows 7 및 Windows Server 2008 r 2에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
(http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx)
http://technet.microsoft.com/en-us/library/dd772712 (WS.10).aspx
Windows Vista 및 Windows Server 2008에서 보안 감사에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.
(http://technet.microsoft.com/en-us/library/dd772712 (WS.10).aspx)
947226
(http://support.microsoft.com/kb/947226/)
Windows vista에서 및 Windows Server 2008에서는 보안 이벤트에 대 한
기술 자료: 977519 - 마지막 검토: 2013년 10월 10일 목요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Windows 7 Enterprise
- Windows 7 Professional
- Windows 7 Ultimate
- Windows Server 2008 R2 Service Pack 1
키워드: |
kbeventlog kbexpertiseinter kbsurveynew kbinfo kbmt KB977519 KbMtko |
'Windows > 2008' 카테고리의 다른 글
| [스크랩] 그룹 정책 또는 레지스트리 설정을 사용하여 자동 업데이트를 구성하는 방법 (0) | 2014.12.24 |
|---|---|
| [스크랩] 자동 업데이트 정책 변경 내역 (0) | 2014.12.24 |
| [스크랩] 윈도우 보안 감사의 새로운 기능 (0) | 2014.12.24 |
| [스크랩] AD 조인 실패시 트러블슈팅 (0) | 2014.11.17 |
| [스크랩] Windows RDP 접속 이력 조회 (0) | 2014.10.22 |