Event log \ логи

Выключение\Перезагрузка системы:

26, 1074, 1076, 6009, 6008 
Для штатных — 26, 1074, 1076 или 6009 
Для нештатных — 6008  (отключали электричество, либо перезагрузили через ilo)
26 - сервер выключил UPS штатно
1074 - узнаем кто перезагружал сервер
1076 - выключение сервера

26, 1074, 1076, 6009, 6008

Для штатных — 26, 1074, 1076 или 6009

Для нештатных — 6008 (отключали электричество, либо перезагрузили через ilo)

26 - сервер выключил UPS штатно

1074 - узнаем кто перезагружал сервер

1076 - выключение сервера

Вход на сервер:

4478 - вход на сервер с помощью RDP
1149 - успешная авторизация

1 2	4478 - вход на сервер с помощью RDP 1149 - успешная авторизация

Контроллеры доменов:

675, 4771 -  на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. ( несоответствующий пароль )
676, Failed 672, 4768 - другие не удачые аутентификации. 
681, Failed 680, 4776 - на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. 
642, 4738 - указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. 
632 или 4728, 636 или  4732, 660 или 4756 - указывают на то, что указанный пользователь был добавлен в определенную группу. Глобальная (Global), Локальная (Local) и Общая (Universal)
624 или 4720 - была создана новая учетная запись пользователя
644 или 4740 - учетная запись указанного пользователя была заблокирована после нескольких попыток входа
517 или 1102 - указанный пользователь очистил журнал безопасности

675, 4771 - на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. ( несоответствующий пароль )

676, Failed 672, 4768 - другие не удачые аутентификации.

681, Failed 680, 4776 - на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью.

642, 4738 - указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи.

632 или 4728, 636 или 4732, 660 или 4756 - указывают на то, что указанный пользователь был добавлен в определенную группу. Глобальная (Global), Локальная (Local) и Общая (Universal)

624 или 4720 - была создана новая учетная запись пользователя

644 или 4740 - учетная запись указанного пользователя была заблокирована после нескольких попыток входа

517 или 1102 - указанный пользователь очистил журнал безопасности

Тип входа в систему:

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

2 — Интерактивный (вход с клавиатуры или экрана системы)

3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)

4 — Пакет (batch) (например, запланированная задача)

5 — Служба (Запуск службы)

7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)

8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)

9 — NewCredentials

10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)

11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos:

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

6 — Имя пользователя не существует

12 — Ограничение рабочей машины; ограничение времени входа в систему

18 — Учетная запись деактивирована, заблокирована или истек срок ее действия

23 — Истек срок действия пароля пользователя

24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль

32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров

37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM:

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует

3221225578 — C000006A — Верное имя пользователя, но неверный пароль

3221226036 — C0000234 — Учетная запись пользователя заблокирована

3221225586 — C0000072 — Учетная запись деактивирована

3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)

3221225584 — C0000070 — Ограничение рабочей станции

3221225875 — C0000193 — Истек срок действия учетной записи

3221225585 — C0000071 — Истек срок действия пароля

3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Вход и выход из системы (Logon/Logoff):

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

528 или 4624 — Успешный вход в систему

529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль

530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени

531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована

532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек

533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере

534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере

535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек

539 или 4625 — Отказ входа в систему – Учетная запись заблокирована

540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)