Le tableau suivant répertorie les événements que vous devez surveiller dans votre environnement, conformément aux recommandations fournies dans Monitor d'Active Directory pour les signes de compromission. Dans le tableau suivant, la colonne «Identificateur d'événement Windows actuel» répertorie l'identificateur d'événement (Event ID) tel qu'il est implémenté dans les versions de Windows et Windows Server étant actuellement prises en charge par le grand public.
La colonne «Identificateur d'événement Windows hérité» répertorie l'identificateur d'événement correspondant dans les versions héritées de Windows, telles que les ordinateurs clients exécutant Windows XP ou une version antérieure et les serveurs exécutant Windows Server 2003 ou une version antérieure. La colonne "Potentiellement critique" identifie si l'événement doit être considéré comme de criticité faible, moyenne ou élevée dans la détection des attaques, et la colonne «Résumé de l'événement» fournit une brève description de l'événement.
Un potentiellement critique Élevée signifie qu'une occurrence de l'événement doit faire l'objet d'une enquête. Un potentiellement critique moyenne ou faible signifie que ces événements ne doivent être étudiés que s'ils se produisent de manière inattendue ou en nombre dépassant de manière significative la ligne de base attendue sur une période de temps mesurée. Toutes les organisations doivent tester ces recommandations dans leur environnement avant de créer des alertes nécessitant des réponses d'enquête obligatoires. Chaque environnement est différent, et certains des événements classés avec une potentiellement critique élevée peuvent se produire en raison d'autres événements inoffensifs.
Voici un tableau de référence des identificateurs d'événements sous le système d'exploitation Windows :
| Identificateur d'événement Windows actuel | Identificateur d'événement Windows hérité | Potentiellement critique | Résumé de l'événement |
|---|---|---|---|
| 4618 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer un modèle d'événement de sécurité surveillé s'est produit. |
| 4649 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer une attaque par rejeu a été détectée. Peut être un faux positif inoffensif dû à une erreur de configuration. |
| 4719 | 612 | Élevé | Cet identificateur d'événement permet d'indiquer que la stratégie d'audit du système a été modifiée. |
| 4765 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer que l'historique SID a été ajouté à un compte. |
| 4766 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer une tentative d'ajout de l'historique SID à un compte a échoué. |
| 4794 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer une tentative de définition du Directory Services Restore Mode. |
| 4897 | 801 | Élevé | Cet identificateur d'événement permet d'indiquer qu'une séparation des rôles est activée. |
| 4964 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer des groupes spéciaux ont été affectés à une nouvelle connexion. |
| 5124 | N/A | Élevé | Cet identificateur d'événement permet d'indiquer qu'un paramètre de sécurité a été mis à jour sur le service de réponse OCSP |
| N/A | 550 | Moyen à élevé | Cet identificateur d'événement permet d'indiquer qu'il est possible qu'une attaque par déni de service (DoS) s'est produit. |
| 1102 | 517 | Moyen à élevé | Cet identificateur d'événement permet d'indiquer que le journal d'audit a été effacé. |
| 621 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'administrateur a récupéré le système de CrashOnAuditFail. Les utilisateurs n'étant pas administrateurs seront désormais autorisés à se connecter. Certaines activités vérifiables peuvent ne pas avoir été enregistrées. |
| 4675 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les SID ont été filtrés. |
| 4692 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que la sauvegarde de la clef principale de protection des données a été tentée. |
| 4693 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que la récupération de la clef principale de protection des données a été tentée. |
| 4706 | 610 | Moyen | Cet identificateur d'événement permet d'indiquer qu'une nouvelle approbation a été créée pour un domaine. |
| 4713 | 617 | Moyen | Cet identificateur d'événement permet d'indiquer que la stratégie Kerberos a été modifiée. |
| 4714 | 618 | Moyen | Cet identificateur d'événement permet d'indiquer que la politique de récupération des données chiffrées a été modifiée. |
| 4715 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que la stratégie d'audit (SACL) d'un objet a été modifiée. |
| 4716 | 620 | Moyen | Cet identificateur d'événement permet d'indiquer les informations sur le domaine de confiance ont été modifiées. |
| 4724 | 628 | Moyen | Cet identificateur d'événement permet d'indiquer qu'une tentative de réinitialisation du mot de passe d'un compte s'est produite. |
| 4727 | 631 | Moyen | Cet identificateur d'événement permet d'indiquer qu'un groupe global sécurisé a été créé. |
| 4735 | 639 | Moyen | Cet identificateur d'événement permet d'indiquer qu'un groupe local sécurisé a été modifié. |
| 4737 | 641 | Moyen | Cet identificateur d'événement permet d'indiquer qu'un groupe global sécurisé a été modifié. |
| 4739 | 643 | Moyen | Cet identificateur d'événement permet d'indiquer que la stratégie de domaine a été modifiée. |
| 4754 | 658 | Moyen | Cet identificateur d'événement permet d'indiquer qu'un groupe universel sécurisé a été créé. |
| 4755 | 659 | Moyen | Cet identificateur d'événement permet d'indiquer qu'un groupe universel sécurisé a été modifié. |
| 4764 | 667 | Moyen | Cet identificateur d'événement permet d'indiquer qu'un groupe dont la sécurité est désactivée a été supprimé. |
| 4764 | 668 | Moyen | Cet identificateur d'événement permet d'indiquer que le type d'un groupe a été modifié. |
| 4780 | 684 | Moyen | Cet identificateur d'événement permet d'indiquer que l'ACL a été définie sur des comptes membres de groupes d'administrateurs. |
| 4816 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer le RPC a détecté une violation d'intégrité lors du déchiffrement d'un message entrant. |
| 4865 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une entrée d'informations sur la forêt de confiance a été ajoutée. |
| 4866 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une entrée d'informations sur la forêt approuvée a été supprimée. |
| 4867 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une entrée d'informations sur la forêt approuvée a été modifiée. |
| 4868 | 772 | Moyen | Cet identificateur d'événement permet d'indiquer que le gestionnaire de certificats a refusé une demande de certificat en attente. |
| 4870 | 774 | Moyen | Cet identificateur d'événement permet d'indiquer que les services de certificats ont révoqué un certificat. |
| 4882 | 786 | Moyen | Cet identificateur d'événement permet d'indiquer que les autorisations de sécurité pour les services de certificats ont changé. |
| 4885 | 789 | Moyen | Cet identificateur d'événement permet d'indiquer que le filtre d'audit pour les services de certificats a été modifié. |
| 4890 | 794 | Moyen | Cet identificateur d'événement permet d'indiquer que les paramètres du gestionnaire de certificats pour les services de certificats ont été modifiés. |
| 4892 | 796 | Moyen | Cet identificateur d'événement permet d'indiquer qu'une propriété des services de certificats a été modifiée. |
| 4896 | 800 | Moyen | Cet identificateur d'événement permet d'indiquer qu'une ou plusieurs lignes ont été supprimées de la base de données de certificats. |
| 4906 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que la valeur CrashOnAuditFail a changé. |
| 4907 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les paramètres d'audit sur l'objet ont été modifiés. |
| 4908 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'un tableau de connexion des groupes spéciaux a été modifié. |
| 4912 | 807 | Moyen | Cet identificateur d'événement permet d'indiquer que la stratégie d'audit par utilisateur a été modifiée. |
| 4960 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'IPsec a rejeté un paquet entrant qui a échoué à un contrôle d'intégrité. Si ce problème persiste, cela peut indiquer un problème de réseau ou que des paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés depuis l'ordinateur à distance sont les mêmes que ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec. |
| 4961 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'IPsec a abandonné un paquet entrant ayant échoué à une vérification de relecture. Si ce problème persiste, cela pourrait indiquer une attaque par relecture contre cet ordinateur. |
| 4962 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'IPsec a abandonné un paquet entrant ayant échoué à une vérification de relecture. Le paquet entrant avait un numéro de séquence trop bas pour s'assurer qu'il ne s'agissait pas d'une relecture. |
| 4963 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'IPsec a supprimé un paquet entrant en texte clair ayant dû être sécurisé. Cela est généralement dû au fait que l'ordinateur à distance modifie sa politique IPsec sans en informer cet ordinateur. Il peut également s'agir d'une tentative d'attaque par usurpation d'identité. |
| 4965 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'IPsec a reçu un paquet d'un ordinateur à distance avec un index de paramètre de sécurité (SPI) incorrect. Cela est généralement dû à un matériel défectueux corrompant les paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés depuis l'ordinateur à distance sont les mêmes que ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d'interopérabilité avec d'autres implémentations IPsec. Dans ce cas, si la connectivité n'est pas entravée, ces événements peuvent être ignorés. |
| 4976 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que lors de la négociation en mode principal, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation. |
| 4977 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que lors de la négociation en mode rapide, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation. |
| 4978 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que lors de la négociation en mode étendu, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation. |
| 4983 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une négociation en mode étendu IPsec a échoué. L'association de sécurité du mode principal correspondante a été supprimée. |
| 4984 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une négociation en mode étendu IPsec a échoué. L'association de sécurité du mode principal correspondante a été supprimée. |
| 5027 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows n'a pas pu récupérer la stratégie de sécurité à partir de l'entreposage local. Le service continuera d'appliquer la stratégie actuelle. |
| 5028 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows n'a pas pu analyser la nouvelle stratégie de sécurité. Le service continuera avec la politique actuellement appliquée. |
| 5029 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows n'a pas réussi à initialiser le pilote. Le service continuera d'appliquer la politique actuelle. |
| 5030 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows n'a pas pu démarrer. |
| 5035 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le pilote du pare-feu Windows n'a pas pu démarrer. |
| 5037 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le pilote du pare-feu Windows a détecté une erreur d'exécution critique. Résiliation. |
| 5038 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que l'intégrité du code a déterminé que le hachage d'image d'un fichier n'est pas valide. Le fichier peut être corrompu en raison d'une modification non autorisée ou le hachage non valide peut indiquer une erreur potentielle de périphérique de disque. |
| 5120 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service de répondeur OCSP est démarré. |
| 5121 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service de répondeur OCSP est arrêté. |
| 5122 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une entrée de configuration modifiée dans le service de réponse OCSP s'est produite. |
| 5123 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une entrée de configuration modifiée dans le service de réponse OCSP s'est produite. |
| 5376 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les informations d'identification de Credential Manager ont été sauvegardées. |
| 5377 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les informations d'identification de Credential Manager ont été restaurées à partir d'une sauvegarde. |
| 5453 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une négociation IPsec avec un ordinateur à distance a échoué car le service IKE et AuthIP IPsec Keying Modules (IKEEXT) n'est pas démarré. |
| 5480 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les services IPsec n'ont pas réussi à obtenir la liste complète des interfaces réseau sur l'ordinateur. Cela pose un risque de sécurité potentiel car certaines des interfaces réseau peuvent ne pas bénéficier de la protection fournie par les filtres IPsec appliqués. Utilisez la composante logiciel enfichable IP Security Monitor pour diagnostiquer le problème. |
| 5483 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les services IPsec n'ont pas réussi à initialiser le serveur RPC. Les services IPsec n'ont pas pu démarrer. |
| 5484 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les services IPsec ont connu une panne critique et ont été arrêtés. L'arrêt des services IPsec peut exposer l'ordinateur à un risque accru d'attaque réseau ou exposer l'ordinateur à des risques de sécurité potentiels. |
| 5485 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que les services IPsec n'ont pas pu traiter certains filtres IPsec sur un événement Plug-and-Play pour les interfaces réseau. Cela pose un risque de sécurité potentiel car certaines des interfaces réseau peuvent ne pas bénéficier de la protection fournie par les filtres IPsec appliqués. Utilisez la composante logiciel enfichable IP Security Monitor pour diagnostiquer le problème. |
| 5827 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service Netlogon a refusé une connexion de canal sécurisé Netlogon vulnérable à partir d'un compte d'ordinateur. |
| 5828 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le service Netlogon a refusé une connexion de canal sécurisé Netlogon vulnérable à l'aide d'un compte de confiance. |
| 6145 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une ou plusieurs erreurs se sont produites lors du traitement de la stratégie de sécurité dans les objets de stratégie de groupe. |
| 6273 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a refusé l'accès à un utilisateur. |
| 6274 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le Network Policy Server a rejeté la demande d'un utilisateur. |
| 6275 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a rejeté la demande de comptabilisation d'un utilisateur. |
| 6276 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a mis un utilisateur en quarantaine. |
| 6277 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a accordé l'accès à un utilisateur mais l'a mis en probation car l'hôte n'a pas respecté la stratégie de santé définie. |
| 6278 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a accordé un accès complet à un utilisateur car l'hôte respectait la stratégie de santé définie. |
| 6279 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a verrouillé le compte d'utilisateur en raison de tentatives d'authentification infructueuses répétées. |
| 6280 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer que le Network Policy Server a déverrouillé le compte d'utilisateur. |
| - | 640 | Moyen | Cet identificateur d'événement permet d'indiquer que la base de données générale des comptes a été modifiée. |
| - | 619 | Moyen | Cet identificateur d'événement permet d'indiquer que la politique de qualité de service est modifiée |
| 24586 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une erreur s'est produite lors de la conversion du volume. |
| 24592 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer qu'une tentative de redémarrage automatique de la conversion sur le volume %2 a échoué. |
| 24593 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer une écriture des métadonnées : le volume %2 renvoie des erreurs lors de la tentative de modification des métadonnées. Si les échecs persistent, déchiffrez le volume. |
| 24594 | N/A | Moyen | Cet identificateur d'événement permet d'indiquer une reconstruction des métadonnées : une tentative d'écriture d'une copie des métadonnées sur le volume %2 a échoué et peut apparaître comme une corruption du disque. Si les échecs persistent, déchiffrez le volume. |
| 4608 | 512 | Basse | Cet identificateur d'événement permet d'indiquer que Windows démarre. |
| 4609 | 513 | Basse | Cet identificateur d'événement permet d'indiquer que Windows se ferme. |
| 4610 | 514 | Basse | Cet identificateur d'événement permet d'indiquer qu'un paquet d'authentification a été chargé par l'autorité de sécurité locale. |
| 4611 | 515 | Basse | Cet identificateur d'événement permet d'indiquer qu'un processus de connexion approuvé a été enregistré auprès de l'autorité de sécurité locale. |
| 4612 | 516 | Basse | Cet identificateur d'événement permet d'indiquer que les ressources internes allouées à la mise en file d'attente des messages d'audit ont été épuisées, entraînant la perte de certains audits. |
| 4614 | 518 | Basse | Cet identificateur d'événement permet d'indiquer qu'un paquet d'avertissement a été chargé par le gestionnaire de compte de sécurité. |
| 4615 | 519 | Basse | Cet identificateur d'événement permet d'indiquer qu'une utilisation invalide du port LPC s'est produite. |
| 4616 | 520 | Basse | Cet identificateur d'événement permet d'indiquer que l'heure du système a été modifiée. |
| 4622 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un paquet de sécurité a été chargé par l'autorité de sécurité locale. |
| 4624 | 528,540 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte a été connecté avec succès. |
| 4625 | 529-537,539 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte n'a pas pu se connecter. |
| 4634 | 538 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte a été déconnecté. |
| 4646 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le mode de prévention IKE DoS a démarré. |
| 4647 | 551 | Basse | Cet identificateur d'événement permet d'indiquer que la déconnexion est initiée par l'utilisateur. |
| 4648 | 552 | Basse | Cet identificateur d'événement permet d'indiquer qu'une connexion a été tentée à l'aide d'informations d'identification explicites. |
| 4650 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une association de sécurité en mode principal IPsec a été établie. Le mode étendu n'a pas été activé. L'authentification par certificat n'a pas été utilisée. |
| 4651 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une association de sécurité en mode principal IPsec a été établie. Le mode étendu n'a pas été activé. Un certificat a été utilisé pour l'authentification. |
| 4652 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une négociation en mode principal IPsec a échoué. |
| 4653 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une négociation en mode principal IPsec a échoué. |
| 4654 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une négociation en mode rapide IPsec a échoué. |
| 4655 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une association de sécurité en mode principal IPsec s'est terminée. |
| 4656 | 560 | Basse | Cet identificateur d'événement permet d'indiquer qu'un descripteur vers un objet a été demandé. |
| 4657 | 567 | Basse | Cet identificateur d'événement permet d'indiquer qu'une valeur de registre a été modifiée. |
| 4658 | 562 | Basse | Cet identificateur d'événement permet d'indiquer que le descripteur d'un objet a été fermée. |
| 4659 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un descripteur vers un objet a été demandé avec l'intention de le supprimer. |
| 4660 | 564 | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet a été supprimé. |
| 4661 | 565 | Basse | Cet identificateur d'événement permet d'indiquer qu'un descripteur vers un objet a été demandé. |
| 4662 | 566 | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération a été effectuée sur un objet. |
| 4663 | 567 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative d'accès à un objet s'est produit. |
| 4664 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative de création d'un lien physique s'est produite. |
| 4665 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative de création d'un contexte client d'application s'est produite. |
| 4666 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une application a tenté une opération. |
| 4667 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un contexte de client d'application a été supprimé. |
| 4668 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une application a été initialisée. |
| 4670 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les autorisations sur un objet ont été modifiées. |
| 4671 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une application a tenté d'accéder à un ordinal bloqué via le TBS. |
| 4672 | 576 | Basse | Cet identificateur d'événement permet d'indiquer que les privilèges spéciaux attribués à la nouvelle connexion. |
| 4673 | 577 | Basse | Cet identificateur d'événement permet d'indiquer qu'un service privilégié a été appelé. |
| 4674 | 578 | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération a été tentée sur un objet privilégié. |
| 4688 | 592 | Basse | Cet identificateur d'événement permet d'indiquer qu'un nouveau processus a été créé. |
| 4689 | 593 | Basse | Cet identificateur d'événement permet d'indiquer qu'un processus est sorti. |
| 4690 | 594 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative de duplication d'un descripteur vers un objet s'est produit. |
| 4691 | 595 | Basse | Cet identificateur d'événement permet d'indiquer qu'un accès indirect à un objet a été demandé. |
| 4694 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la protection des données protégées auditables a été tentée. |
| 4695 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'annulation de la protection des données protégées auditables a été tentée. |
| 4696 | 600 | Basse | Cet identificateur d'événement permet d'indiquer qu'un jeton principal a été affecté au processus. |
| 4697 | 601 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative d'installation d'un service s'est produit. |
| 4698 | 602 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tâche planifiée a été créée. |
| 4699 | 602 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tâche planifiée a été supprimée. |
| 4700 | 602 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tâche planifiée a été activée. |
| 4701 | 602 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tâche planifiée a été désactivée. |
| 4702 | 602 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tâche planifiée a été mise à jour. |
| 4704 | 608 | Basse | Cet identificateur d'événement permet d'indiquer qu'un droit d'utilisateur a été attribué. |
| 4705 | 609 | Basse | Cet identificateur d'événement permet d'indiquer qu'un droit d'utilisateur a été supprimé. |
| 4707 | 611 | Basse | Cet identificateur d'événement permet d'indiquer qu'une approbation à un domaine a été supprimée. |
| 4709 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les services IPsec ont démarré. |
| 4710 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les services IPsec ont été désactivés. |
| 4711 | N/A | Basse | Cet identificateur d'événement peut contenir l'un des éléments suivants : Le moteur PAStore a appliqué une copie mise en cache localement de la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. Le moteur PAStore a appliqué la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. Le moteur PAStore a appliqué la stratégie IPsec d'entreposage du registre local sur l'ordinateur. Le moteur PAStore n'a pas pu appliquer la copie mise en cache localement de la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. Le moteur PAStore n'a pas pu appliquer la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. Le moteur PAStore n'a pas pu appliquer la stratégie IPsec de stockage du registre local sur l'ordinateur. Le moteur PAStore n'a pas réussi à appliquer certaines règles de la politique IPsec active sur l'ordinateur. Le moteur PAStore n'a pas réussi à charger la stratégie IPsec de stockage de répertoire sur l'ordinateur. Le moteur PAStore a chargé la stratégie IPsec de stockage d'annuaire sur l'ordinateur. Le moteur PAStore n'a pas pu charger la stratégie IPsec d'entreposage local sur l'ordinateur. Le moteur PAStore a chargé la stratégie IPsec d'entreposage local sur l'ordinateur. Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active et n'a détecté aucune modification. |
| 4712 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les services IPsec ont rencontré une défaillance potentiellement grave. |
| 4717 | 621 | Basse | Cet identificateur d'événement permet d'indiquer que l'accès de sécurité du système a été accordé à un compte. |
| 4718 | 622 | Basse | Cet identificateur d'événement permet d'indiquer que l'accès de sécurité du système a été supprimé d'un compte. |
| 4720 | 624 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte utilisateur a été créé. |
| 4722 | 626 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte utilisateur a été activé. |
| 4723 | 627 | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative de modification du mot de passe d'un compte s'est produite. |
| 4725 | 629 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte utilisateur a été désactivé. |
| 4726 | 630 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte utilisateur a été supprimé. |
| 4728 | 632 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe global sécurisé. |
| 4729 | 633 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe global dont la sécurité est activée. |
| 4730 | 634 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe global dont la sécurité est activée a été supprimé. |
| 4731 | 635 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe local sécurisé a été créé. |
| 4732 | 636 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe local dont la sécurité est activée. |
| 4733 | 637 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe local dont la sécurité est activée. |
| 4734 | 638 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe local dont la sécurité est activée a été supprimé. |
| 4738 | 642 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte utilisateur a été modifié. |
| 4740 | 644 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte d'utilisateur a été verrouillé. |
| 4741 | 645 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte d'ordinateur a été modifié. |
| 4742 | 646 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte d'ordinateur a été modifié. |
| 4743 | 647 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte d'ordinateur a été supprimé. |
| 4744 | 648 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe local dont la sécurité est désactivée a été créé. |
| 4745 | 649 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe local dont la sécurité est désactivée a été modifié. |
| 4746 | 650 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe local dont la sécurité est désactivée. |
| 4747 | 651 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe local dont la sécurité est désactivée. |
| 4748 | 652 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe local dont la sécurité est désactivée a été supprimé. |
| 4749 | 653 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe global dont la sécurité est désactivée a été créé. |
| 4750 | 654 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe global dont la sécurité est désactivée a été modifié. |
| 4751 | 655 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe global dont la sécurité est désactivée. |
| 4752 | 656 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe global dont la sécurité est désactivée. |
| 4753 | 657 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe global dont la sécurité est désactivée a été supprimé. |
| 4756 | 660 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe universel sécurisé. |
| 4757 | 661 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe universel dont la sécurité est activée. |
| 4758 | 662 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe universel sécurisé a été supprimé. |
| 4759 | 663 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe universel dont la sécurité est désactivée a été créé. |
| 4760 | 664 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe universel dont la sécurité est désactivée a été modifié. |
| 4761 | 665 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe universel dont la sécurité est désactivée. |
| 4762 | 666 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe universel dont la sécurité est désactivée. |
| 4767 | 671 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte utilisateur a été déverrouillé. |
| 4768 | 672,676 | Basse | Cet identificateur d'événement permet d'indiquer qu'un billet d'authentification Kerberos (TGT) a été demandé. |
| 4769 | 673 | Basse | Cet identificateur d'événement permet d'indiquer qu'un billet de service Kerberos a été demandé. |
| 4770 | 674 | Basse | Cet identificateur d'événement permet d'indiquer qu'un billet de service Kerberos a été renouvelé. |
| 4771 | 675 | Basse | Cet identificateur d'événement permet d'indiquer que la pré-authentification Kerberos a échoué. |
| 4772 | 672 | Basse | Cet identificateur d'événement permet d'indiquer qu'une demande de billet d'authentification Kerberos a échoué. |
| 4774 | 678 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte a été cartographié pour la connexion. |
| 4775 | 679 | Basse | Cet identificateur d'événement permet d'indiquer qu'un compte n'a pas pu être cartographié pour la connexion. |
| 4776 | 680,681 | Basse | Cet identificateur d'événement permet d'indiquer que le contrôleur de domaine a tenté de valider les informations d'identification d'un compte. |
| 4777 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le contrôleur de domaine n'a pas pu valider les informations d'identification d'un compte. |
| 4778 | 682 | Basse | Cet identificateur d'événement permet d'indiquer qu'une session a été reconnectée à une station Windows. |
| 4779 | 683 | Basse | Cet identificateur d'événement permet d'indiquer qu'une session a été déconnectée d'une station Windows. |
| 4781 | 685 | Basse | Cet identificateur d'événement permet d'indiquer que le nom d'un compte a été modifié. |
| 4782 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le hachage de mot de passe d'un compte a été accédé. |
| 4783 | 667 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe d'applications de base a été créé. |
| 4784 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe d'applications de base a été modifié. |
| 4785 | 689 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été ajouté à un groupe d'applications de base. |
| 4786 | 690 | Basse | Cet identificateur d'événement permet d'indiquer qu'un membre a été supprimé d'un groupe d'applications de base. |
| 4787 | 691 | Basse | Cet identificateur d'événement permet d'indiquer qu'un non-membre a été ajouté à un groupe d'applications de base. |
| 4788 | 692 | Basse | Cet identificateur d'événement permet d'indiquer qu'un non-membre a été supprimé d'un groupe d'applications de base. |
| 4789 | 693 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe d'applications de base a été supprimé. |
| 4790 | 694 | Basse | Cet identificateur d'événement permet d'indiquer qu'un groupe de requêtes LDAP a été créé. |
| 4793 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'API de vérification de la stratégie de mot de passe a été appelée. |
| 4800 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le poste de travail était verrouillé. |
| 4801 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le poste de travail a été déverrouillé. |
| 4802 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'économiseur d'écran a été appelé. |
| 4803 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'économiseur d'écran a été rejeté. |
| 4864 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une collision d'espace de noms a été détectée. |
| 4869 | 773 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont reçu une nouvelle demande de certificat. |
| 4871 | 775 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont reçu une demande de publication de la liste de révocation de certificats (CRL). |
| 4872 | 776 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont publié la liste de révocation des certificats (CRL). |
| 4873 | 777 | Basse | Cet identificateur d'événement permet d'indiquer qu'une extension de demande de certificat a été modifiée. |
| 4874 | 778 | Basse | Cet identificateur d'événement permet d'indiquer qu'un ou plusieurs attributs de demande de certificat ont été modifiés. |
| 4875 | 779 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont reçu une demande d'arrêt. |
| 4876 | 780 | Basse | Cet identificateur d'événement permet d'indiquer que la sauvegarde des services de certificats a démarré. |
| 4877 | 781 | Basse | Cet identificateur d'événement permet d'indiquer que la sauvegarde des services de certificats est terminée. |
| 4878 | 782 | Basse | Cet identificateur d'événement permet d'indiquer que la restauration des services de certificats a démarré. |
| 4879 | 783 | Basse | Cet identificateur d'événement permet d'indiquer que la restauration des services de certificats est terminée. |
| 4880 | 784 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont démarré. |
| 4881 | 785 | Basse | Cet identificateur d'événement permet d'indiquer les services de certificats est arrêtés. |
| 4883 | 787 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont récupéré une clef archivée. |
| 4884 | 788 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont importé un certificat dans sa base de données. |
| 4886 | 790 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont reçu une demande de certificat. |
| 4887 | 791 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont approuvé une demande de certificat et émis un certificat. |
| 4888 | 792 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont refusé une demande de certificat. |
| 4889 | 793 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats définissent l'état d'une demande de certificat sur en attente. |
| 4891 | 795 | Basse | Cet identificateur d'événement permet d'indiquer qu'une entrée de configuration a été modifiée dans les services de certificats. |
| 4893 | 797 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont archivé une clef. |
| 4894 | 798 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont importé et archivé une clef. |
| 4895 | 799 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont publié le certificat de l'autorité de certification dans les services de domaine Active Directory. |
| 4898 | 802 | Basse | Cet identificateur d'événement permet d'indiquer que les services de certificats ont chargé un modèle. |
| 4902 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le tableau de stratégie d'audit par utilisateur a été créé. |
| 4904 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative d'enregistrement d'une source d'événements de sécurité s'est produite. |
| 4905 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative de désinscription d'une source d'événements de sécurité s'est produite. |
| 4909 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les paramètres de stratégie locale pour le TBS ont été modifiés. |
| 4910 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les paramètres de stratégie de groupe pour le TBS ont été modifiés. |
| 4928 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un contexte d'attribution de nom de source de réplica Active Directory a été établi. |
| 4929 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un contexte de nommage de source de réplica Active Directory a été supprimé. |
| 4930 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un contexte d'attribution de nom de source de réplica Active Directory a été modifié. |
| 4931 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un contexte de dénomination de destination de réplica Active Directory a été modifié. |
| 4932 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la synchronisation d'une réplique d'un contexte de nommage Active Directory a commencé. |
| 4933 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la synchronisation d'une réplique d'un contexte de nommage Active Directory est terminée. |
| 4934 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les attributs d'un objet Active Directory ont été répliqués. |
| 4935 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'échec de la réplication commence. |
| 4936 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'échec de la réplication se termine. |
| 4937 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet en attente a été supprimé d'une réplique. |
| 4944 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la stratégie suivante était active au démarrage du pare-feu Windows. |
| 4945 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une règle était répertoriée au démarrage du pare-feu Windows. |
| 4946 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée. |
| 4947 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée. |
| 4948 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée. |
| 4949 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les paramètres du pare-feu Windows ont été restaurés aux valeurs par défaut. |
| 4950 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un paramètre du pare-feu Windows a été modifié. |
| 4951 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une règle a été ignorée car son numéro de version majeure n'a pas été reconnu par le pare-feu Windows. |
| 4952 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que certaines parties d'une règle ont été ignorées car son numéro de version mineure n'a pas été reconnu par le pare-feu Windows. Les autres parties de la règle seront appliquées. |
| 4953 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une règle a été ignorée par le pare-feu Windows car il n'a pas pu analyser la règle. |
| 4954 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les paramètres de stratégie de groupe du pare-feu Windows ont changé. Les nouveaux paramètres ont été appliqués. |
| 4956 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le pare-feu Windows a modifié le profil actif. |
| 4957 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le pare-feu Windows n'a pas appliqué la règle suivante. |
| 4958 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le pare-feu Windows n'a pas appliqué la règle suivante car la règle faisait référence à des éléments non configurés sur cet ordinateur. |
| 4979 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4980 | N/A | Basse | Cet identificateur d'événement permet d'indiquer des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4981 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4982 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. |
| 4985 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'état d'une transaction a changé. |
| 5024 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows a démarré avec succès. |
| 5025 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows a été arrêté. |
| 5031 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le service de pare-feu Windows a empêché une application d'accepter les connexions entrantes sur le réseau. |
| 5032 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le pare-feu Windows n'a pas été en mesure d'informer l'utilisateur qu'il a empêché une application d'accepter les connexions entrantes sur le réseau. |
| 5033 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le pilote du pare-feu Windows a démarré avec succès. |
| 5034 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le pilote du pare-feu Windows a été arrêté. |
| 5039 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une clef de registre a été virtualisée. |
| 5040 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Un ensemble d'authentification a été ajouté. |
| 5041 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Un ensemble d'authentification a été modifié. |
| 5042 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Un ensemble d'authentification a été supprimé. |
| 5043 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été ajoutée. |
| 5044 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été modifiée. |
| 5045 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été supprimée. |
| 5046 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Un ensemble de chiffrement a été ajouté. |
| 5047 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Un ensemble de chiffrement a été modifié. |
| 5048 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification a été apportée aux paramètres IPsec. Un ensemble de chiffrement a été supprimé. |
| 5050 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une tentative de désactivation par programme du pare-feu Windows à l'aide d'un appel à InetFwProfile.FirewallEnabled(False). |
| 5051 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un fichier a été virtualisé. |
| 5056 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un auto-test cryptographique a été effectué. |
| 5057 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération primitive cryptographique a échoué. |
| 5058 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de fichier clef s'est produite. |
| 5059 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de migration de clef s'est produite. |
| 5060 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de vérification a échoué. |
| 5061 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération cryptographique s'est produite. |
| 5062 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un auto-test cryptographique en mode noyau a été effectué. |
| 5063 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de fournisseur de chiffrement a été tentée. |
| 5064 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de contexte cryptographique a été tentée. |
| 5065 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification du contexte cryptographique a été tentée. |
| 5066 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de fonction cryptographique a été tentée. |
| 5067 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification de la fonction cryptographique a été tentée. |
| 5068 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de fournisseur de fonction cryptographique a été tentée. |
| 5069 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une opération de propriété de fonction cryptographique a été tentée. |
| 5070 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une modification de la propriété de la fonction cryptographique a été tentée. |
| 5125 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une demande a été soumise au service de réponse OCSP |
| 5126 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le certificat de signature a été automatiquement mis à jour par le service de réponse OCSP |
| 5127 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le fournisseur de révocation OCSP a mis à jour avec succès les informations de révocation |
| 5136 | 566 | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet de service d'annuaire a été modifié. |
| 5137 | 566 | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet de service d'annuaire a été créé. |
| 5138 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet de service d'annuaire a été restauré. |
| 5139 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet de service d'annuaire a été déplacé. |
| 5140 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet de partage réseau a été accédé. |
| 5141 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet de service d'annuaire a été supprimé. |
| 5152 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plate-forme de filtrage Windows a bloqué un paquet. |
| 5153 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un filtre de la plateforme de filtrage Windows plus restrictif a bloqué un paquet. |
| 5154 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plate-forme de filtrage Windows a permis à une application ou à un service d'écouter sur un port les connexions entrantes. |
| 5155 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plate-forme de filtrage Windows a empêché une application ou un service d'écouter sur un port les connexions entrantes. |
| 5156 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plate-forme de filtrage Windows a autorisé une connexion. |
| 5157 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plateforme de filtrage Windows a bloqué une connexion. |
| 5158 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plate-forme de filtrage Windows a autorisé une liaison à un port local. |
| 5159 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la plateforme de filtrage Windows a bloqué une liaison à un port local. |
| 5378 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la délégation d'informations d'identification demandée a été refusée par la stratégie. |
| 5440 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'appel suivant était présent lorsque le moteur de filtrage de base de la plate-forme de filtrage Windows a démarré. |
| 5441 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le filtre suivant était présent lorsque le moteur de filtrage de base de la plateforme de filtrage Windows a démarré. |
| 5442 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le fournisseur suivant était présent lorsque le moteur de filtrage de base de la plateforme de filtrage Windows a démarré. |
| 5443 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le contexte de fournisseur suivant était présent lorsque le moteur de filtrage de base de la plateforme de filtrage Windows a démarré. |
| 5444 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la sous-couche suivante était présente lorsque le moteur de filtrage de base de la plateforme de filtrage Windows a démarré. |
| 5446 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une légende de la plate-forme de filtrage Windows a été modifiée. |
| 5447 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un filtre de la plateforme de filtrage Windows a été modifié. |
| 5448 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un fournisseur de plateforme de filtrage Windows a été modifié. |
| 5449 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un contexte de fournisseur de plateforme de filtrage Windows a été modifié. |
| 5450 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une sous-couche de la plateforme de filtrage Windows a été modifiée. |
| 5451 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une association de sécurité IPsec Quick Mode a été établie. |
| 5452 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une association de sécurité en mode rapide IPsec s'est terminée. |
| 5456 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a appliqué la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. |
| 5457 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas pu appliquer la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. |
| 5458 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a appliqué une copie mise en cache localement de la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. |
| 5459 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas pu appliquer la copie mise en cache localement de la stratégie IPsec d'entreposage Active Directory sur l'ordinateur. |
| 5460 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a appliqué la stratégie IPsec d'entreposage du registre local sur l'ordinateur. |
| 5461 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas pu appliquer la stratégie IPsec d'entreposage du registre local sur l'ordinateur. |
| 5462 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas réussi à appliquer certaines règles de la politique IPsec active sur l'ordinateur. Utilisez la composante logiciel enfichable IP Security Monitor pour diagnostiquer le problème. |
| 5463 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a interrogé les modifications apportées à la politique IPsec active et n'a détecté aucune modification. |
| 5464 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a interrogé les modifications apportées à la politique IPsec active, a détecté les modifications et les a appliquées aux services IPsec. |
| 5465 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a reçu un contrôle pour le rechargement forcé de la stratégie IPsec et a traité le contrôle avec succès. |
| 5466 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec d'Active Directory, a déterminé qu'Active Directory était inaccessible et utilisera à la place la copie en cache de la stratégie IPsec d'Active Directory. Toute modification apportée à la stratégie IPsec d'Active Directory depuis la dernière interrogation n'a pas pu être appliquée. |
| 5467 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec d'Active Directory, a déterminé qu'Active Directory était accessible et n'a trouvé aucune modification de la stratégie. La copie en cache de la stratégie IPsec Active Directory n'est plus utilisée. |
| 5468 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec d'Active Directory, a déterminé qu'Active Directory était accessible, a trouvé des modifications apportées à la stratégie et a appliqué ces modifications. La copie en cache de la stratégie IPsec Active Directory n'est plus utilisée. |
| 5471 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a chargé la stratégie IPsec d'entreposage local sur l'ordinateur. |
| 5472 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas pu charger la stratégie IPsec d'entreposage local sur l'ordinateur. |
| 5473 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore a chargé la stratégie IPsec d'entreposage d'annuaire sur l'ordinateur. |
| 5474 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas réussi à charger la stratégie IPsec d'entreposage de répertoire sur l'ordinateur. |
| 5477 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le moteur PAStore n'a pas réussi à ajouter le filtre de mode rapide. |
| 5479 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les services IPsec ont été arrêtés avec succès. L'arrêt des services IPsec peut exposer l'ordinateur à un risque accru d'attaque réseau ou exposer l'ordinateur à des risques de sécurité potentiels. |
| 5632 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une demande a été faite pour s'authentifier sur un réseau sans fil. |
| 5633 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une demande a été faite pour s'authentifier sur un réseau câblé. |
| 5712 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un appel de procédure à distance (RPC) a été tenté. |
| 5888 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet du catalogue COM+ a été modifié. |
| 5889 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet a été supprimé du catalogue COM+. |
| 5890 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet a été ajouté au catalogue COM+. |
| 6008 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'arrêt du système précédent était inattendu. |
| 6144 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la stratégie de sécurité dans les objets de stratégie de groupe a été appliquée avec succès. |
| 6272 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le serveur de stratégie réseau a accordé l'accès à un utilisateur. |
| N/A | 61 | Basse | Cet identificateur d'événement permet d'indiquer qu'un descripteur vers un objet a été demandé. |
| N/A | 563 | Basse | Cet identificateur d'événement permet d'indiquer qu'un objet ouvert pour suppression s'est produit. |
| N/A | 25 | Basse | Cet identificateur d'événement permet d'indiquer que le type de compte utilisateur est modifié. |
| N/A | 13 | Basse | Cet identificateur d'événement permet d'indiquer qu'un agent de stratégie IPsec est démarré. |
| N/A | 14 | Basse | Cet identificateur d'événement permet d'indiquer que l'Agent de stratégie IPsec est désactivé. |
| N/A | 15 | Basse | Cet identificateur d'événement permet d'indiquer que l'agent de politique IPsec s'est produit. |
| N/A | 16 | Basse | Cet identificateur d'événement permet d'indiquer que l'agent de stratégie IPsec a rencontré une défaillance grave potentielle. |
| 24577 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le chiffrement du volume a commencé. |
| 24578 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le chiffrement du volume est arrêté. |
| 24579 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le chiffrement du volume est terminé. |
| 24580 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le déchiffrement du volume a commencé. |
| 24581 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le déchiffrement du volume est arrêté. |
| 24582 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le décryptage du volume est terminé. |
| 24583 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le processus léger de travail de conversion pour le volume est démarré. |
| 24584 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le processus léger de travail de conversion pour le volume temporairement est arrêté. |
| 24588 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que l'opération de conversion sur le volume %2 a rencontré une erreur de secteur défectueux. Veuillez valider les données sur ce volume |
| 24595 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que le volume %2 contient des unités d'allocation défectueux. Ces unités d'allocation seront ignorés lors de la conversion. |
| 24621 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que la vérification de l'état initial : transaction de conversion de volume glissant sur %2. |
| 5049 | N/A | Basse | Cet identificateur d'événement permet d'indiquer qu'une association de sécurité IPsec a été supprimée. |
| 5478 | N/A | Basse | Cet identificateur d'événement permet d'indiquer que les services IPsec ont démarré avec succès. |
Dernière mise à jour : Lundi, le 1er mai 2023