글
18. Windows Event ID
# 윈도우 시스템 사용 시 Event ID 정보 입니다.
# Event ID 관리를 위한 정리 자료 입니다.
# 참고 사이트
- www.ultimatewindowssecurity.com
# 로그온 이벤트
로그온 이벤트 |
|
528 |
로그온 성공 |
529 |
알 수 없는 사용자 이름, 잘 못된 암호를 사용하여 로그온 시도 |
530 |
허용된 로그온 시간 초과 |
531 |
잠긴 사용자 이름으로 로그온 시도 |
532 |
사용 기간 만료된 사용자 이름으로 로그온 시도 |
533 |
로그온을 허용하지 않는 사용자 이름으로 시도 |
534 |
허용되지 않는 유형으로 로그온 시도(네트워크, 대화형 서비스...) |
535 |
비밀번호가 만료된 사용자 있음 |
536 |
NetLogon 서비스가 시작되지 않아 로그온 하지 못함 |
537 | 예기치 않은 오류로 인해 로그온 하지 못함 |
538 | 사용자 로그오프 |
539 | 사용자 계정 잠금(실패 횟수 설정되어 잠김) |
540 | 네트워크로 로그온 성공 |
681 | 도메인 계정 로그온 시도 |
682 | 연결 끊긴 터미널 서비스 세션에 사용자가 다시 연결 |
683 | 사용자가 로그오프 하지 않고 터미널 서비스 세션과 연결 종료 |
# 보안 이벤트
보안 이벤트 |
|
2 |
누군가 컴퓨터에 대화형 로그온 |
3 |
누군가 컴퓨터의 리소스를 액세스 시도 |
4 |
NT scheduler 서비스가 스크립트나 배치파일을 사용 액세스 시도 |
5 |
NT 서비스 중의 하나가 특정 사용자 계정을 통해 시작 |
6 |
누군가 프록시로 로그온 |
7 |
Workstation 잠김 |
# 사용자 계정 이벤트
사용자 계정 이벤트 |
|
612 |
보안 감사 정책 변경 |
624 |
새로운 사용자 생성 |
625 |
사용자 유형 변경 |
626 |
계정 잠김 사용자를 사용가능으로 변경 |
627 |
암호 변경 시도 |
628 |
사용자 비밀번호 설정 |
629 |
사용자 계정 잠검 설정 |
630 | 사용자 계정 삭제 |
631 |
보안 사용 글로벌 그룹 생성 |
632 |
보안 사용 글로벌 그룹 구성원 추가 |
633 | 보안 사용 글로벌 그룹 구성원 제거 |
634 | 보안 사용 글로벌 그룹 삭제 |
635 | 보안 안된 로컬 그룹 만든 정보 |
636 | 로컬 그룹 구성원 추가(사용자 계정 그룹) |
637 | 로컬 그룹 구성원 제거(사용자 계정 그룹) |
638 | 로컬 그룹 삭제(사용자 계정 그룹) |
639 | 로컬 그룹 구성원 변경(사용자 계정 그룹) |
641 | 로컬 그룹 변경(사용자 계정 그룹) |
642 | 사용자 이름 변경 |
643 | 도메인 정책 변경 |
644 | 사용자 계정이 자동 잠김 |
668 | 그룹 형식 변경 |
시스템 이벤트 |
|
512 |
윈도우 시작 |
513 |
윈도우 종료 |
514 |
LSA가 인증 패키지 로드(LSA : Local Security Authority, 로컬 보안 기관) |
515 |
신뢰된 로그온 프로세서가 LSA 등록 |
517 |
보안 이벤트 로그 삭제 |
518 |
보안 계정 관리자에 의해 패키지 로드 |
520 |
시스템 시간 변경 |
1000 |
MS Telnet 서비스 시작 |
1001 |
예기치 않은 오류로 인하여 블루 스크린 발생 |
4198 | 네트워크에 중복된 MAC 주소 감지 |
4199 | 네트워크에 중복되는 IP 감지 |
6001 | 시스템이 알지 못하는 버그로 인해 덤프 파일 저장 후 재 부팅 |
6005 | 이벤트 로그 서비스 시작 |
6006 | 이벤트 로그 서비스 중지 |
6008 | 예기치 않은 시스템 종료 발생 |
'참고문서' 카테고리의 다른 글
| 20. 휴대전화 뒷자리 4자리가 개인정보에 해당한다는 판결 (0) | 2016.09.20 |
|---|---|
| 19. 공공기관 지정 안내 (0) | 2016.09.20 |
| 17. 위험 vs 위협 (0) | 2016.08.12 |
| 16. 약점 vs 취약점 (0) | 2016.08.12 |
| 15. 공유 폴더 제거 (0) | 2016.07.23 |
