Windows Server 2003安全事件ID分析

核心提示： 547：在 IKE 握手过程中，出现错误，Windows Server 2003安全事件ID分析(4)， 548：登录失败，来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配， 注意： 在此对象上发生的每个尝试操作都将生成一个事件， 571：客户端上下文由授权管理器应用程

547：在 IKE 握手过程中，出现错误。

548：登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

549：登录失败。在林内进行身份验证时，所有与不受信任的名称空间相关的 SID 将被筛选出去。

550：可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

551：用户已启动注销过程。

552：用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

682：用户已重新连接至已断开的终端服务器会话。

683：用户还未注销就断开终端服务器会话。注意：当用户通过网络连接到终端服务器会话时，就会生成此事件。该事件出现在终端服务器上。

五、对象访问事件

下面显示了由"审核对象访问"安全模板设置所生成的安全事件。

560：访问权限已授予现有的对象。

562：指向对象的句柄已关闭。

563：试图打开一个对象并打算将其删除。

注意：

当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时，此事件可以用于文件系统。

564：受保护对象已删除。

565：访问权限已授予现有的对象类型。

567：使用了与句柄关联的权限。

注意：

创建句柄时，已授予其具体权限，如读取、写入等。使用句柄时，最多为每个使用的权限生成一个审核。

568：试图创建与正在审核的文件的硬链接。

569：授权管理器中的资源管理器试图创建客户端上下文。

570：客户端试图访问对象。

注意：

在此对象上发生的每个尝试操作都将生成一个事件。

571：客户端上下文由授权管理器应用程序删除。

572：Administrator Manager（管理员管理器）初始化此应用程序。