| Nº S | ID do evento | Descrição |
| | 4768 | Um TGT (Kerberos authentication ticket), ou ticket de autenticação Kerberos, foi solicitado.
Esse evento é gerado sempre que as credenciais de um usuário são verificadas. Ele é registrado somente em controladores de domínio para eventos de sucesso e falha. |
| | 4771 | Falha na pré-autenticação do Kerberos.
Esse evento é gerado sempre que uma solicitação de TGT falha (por exemplo, devido a uma senha incorreta ou expirada). Ele é registrado somente em controladores de domínio e apenas para eventos de falha. |
| | 4720 | Uma conta de usuário foi criada.
Esse evento é gerado sempre que uma nova conta de usuário é criada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4722 | Uma conta de usuário foi ativada.
Esse evento é gerado sempre que uma conta de usuário ou computador é ativado. Para objetos de usuário, ele é registrado em controladores de domínio, member servers e estações de trabalho. Para computadores, ele é registrado somente em controladores de domínio. |
| | 4723 | Uma tentativa de alterar a senha de uma conta foi feita.
Esse evento é gerado sempre que um usuário tenta alterar sua própria senha. Para objetos de usuário, ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4724 | Uma tentativa de redefinir a senha de uma conta foi feita.
Esse evento é gerado sempre que um usuário tenta alterar a senha em outra conta. Para objetos de usuário, ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4725 | Uma conta de usuário foi desativada.
Esse evento é gerado sempre que uma conta de usuário ou computador é desativado. Para objetos de usuário, ele é registrado em controladores de domínio, member servers e estações de trabalho. Para computadores, ele é registrado somente em controladores de domínio. |
| | 4726 | Uma conta de usuário foi excluída.
Esse evento é gerado sempre que um objeto de usuário é excluído. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4727 | Um grupo global com segurança ativada foi criado.
Esse evento é gerado sempre que um usuário cria um grupo de segurança com escopo global. Ele é registrado somente em controladores de domínio. |
| | 4728 | Um membro foi adicionado a um grupo global com segurança ativada.
Esse evento é gerado sempre que um usuário, computador ou grupo é adicionado a um grupo de segurança com escopo global. Ele é registrado somente em controladores de domínio. |
| | 4744 | Um grupo local com segurança desativada foi criado.
Esse evento é gerado sempre que um usuário cria um grupo de distribuição com escopo local de domínio. Ele é registrado somente em controladores de domínio. |
| | 4745 | Um grupo local com segurança desativada foi alterado.
Esse evento é gerado sempre que um usuário modifica um grupo de distribuição com escopo local de domínio. Ele é registrado somente em controladores de domínio. |
| | 4746 | Um membro foi adicionado a um grupo global com segurança desativada.
Esse evento é gerado sempre que um usuário, computador ou grupo é adicionado a um grupo de distribuição com escopo local de domínio. Ele é registrado somente em controladores de domínio. |
| | 4747 | Um membro foi removido de um grupo local com segurança desativada.
Esse evento é gerado sempre que um usuário, computador ou grupo é removido de um grupo de distribuição com escopo local de domínio. Ele é registrado somente em controladores de domínio. |
| | 4748 | Um grupo local com segurança desativada foi excluído.
Esse evento é gerado sempre que um grupo de distribuição com escopo local de domínio é excluído. Ele é registrado somente em controladores de domínio. |
| | 4749 | Um grupo global com segurança desativada foi criado.
Esse evento é gerado sempre que um usuário cria um grupo de distribuição com escopo global. Ele é registrado somente em controladores de domínio. |
| | 4750 | Um grupo global com segurança desativada foi alterado.
Esse evento é gerado sempre que um usuário modifica um grupo de distribuição com escopo global. Ele é registrado somente em controladores de domínio. |
| | 4751 | Um membro foi adicionado a um grupo global com segurança desativada.
Esse evento é gerado sempre que um usuário, computador ou grupo é adicionado a um grupo de distribuição com escopo global. Ele é registrado somente em controladores de domínio. |
| | 4752 | Um membro foi removido de um grupo global com segurança desativada.
Esse evento é gerado sempre que um usuário, computador ou grupo é removido de um grupo de distribuição com escopo global. Ele é registrado somente em controladores de domínio. |
| | 4753 | Um grupo global com segurança desativada foi excluído.
Esse evento é gerado sempre que um grupo de distribuição com escopo global é excluído. Ele é registrado somente em controladores de domínio. |
| | 4803 | O protetor de tela foi descartado.
Esse evento é gerado sempre que um usuário descarta o protetor de tela. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4656 | Foi solicitado um identificador para um objeto.
Esse evento é gerado sempre que um acesso específico é solicitado para um objeto. O objeto pode ser um sistema de arquivos, kernel ou objeto de registro, ou um objeto do sistema de arquivos em um dispositivo ou armazenamento removível. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4660 | Um objeto foi excluído.
Esse evento é gerado sempre que um objeto do Active Directory é excluído. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4663 | Foi feita uma tentativa de acessar um objeto.
Esse evento é gerado sempre que um objeto do Active Directory é acessado e registra o tipo de acesso usado. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4670 | As permissões em um objeto foram alteradas.
Esse evento é gerado sempre que um usuário modifica a lista de controle de acesso de um objeto do Active Directory. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4907 | As configurações de auditoria em um objeto foram alteradas.
Esse evento é gerado sempre que a SACL de um objeto, como um arquivo ou uma chave de registro, é alterada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 560 | Foi solicitado um identificador para um objeto.
Esse evento é gerado sempre que um acesso específico é solicitado para um objeto, como um sistema de arquivos, kernel, objeto de registro ou um objeto do sistema de arquivos em um dispositivo de armazenamento removível. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 563 | Um objeto foi aberto para exclusão.
Esse evento é gerado sempre que um objeto é acessado com sucesso com a intenção de ser excluído. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 564 | Um objeto foi excluído.
Esse evento é gerado sempre que um objeto do Active Directory é excluído com êxito. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 567 | Foi feita uma tentativa de acessar um objeto.
Esse evento é gerado sempre que um usuário ou programa tenta abrir um objeto do Active Directory. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4648 | Foi feita uma tentativa de login usando credenciais explícitas.
Esse evento é gerado toda vez que um processo tenta fazer login em uma conta especificando explicitamente as credenciais dessa conta. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 6272 | O NPS (Network Policy Server), ou Servidor de políticas de rede, concedeu acesso a um usuário.
Esse evento é gerado sempre que o NPS concede acesso a um usuário. Ele é registrado somente no NPS. |
| | 6273 | O NPS negou o acesso a um usuário.
Esse evento é gerado sempre que o NPS nega acesso a um usuário. Ele é registrado somente no NPS. |
| | 6274 | O NPS descartou a solicitação de um usuário.
Esse evento é gerado sempre que o NPS descarta a solicitação de um usuário porque a estrutura da solicitação não está em conformidade com o protocolo RADIUS. Ele é registrado somente no NPS. |
| | 6275 | O NPS descartou a solicitação de contabilização de um usuário.
Esse evento é gerado sempre que o NPS descarta uma solicitação de contabilização de um cliente RADIUS porque a estrutura da solicitação não está em conformidade com o protocolo RADIUS. Ele é registrado somente no NPS. |
| | 6276 | O NPS colocou um usuário em quarentena.
Esse evento é gerado sempre que o NPS coloca um usuário em quarentena devido a várias falhas de autenticação. Ele é registrado somente no NPS. |
| | 6277 | O NPS concedeu acesso a um usuário, mas colocou o usuário em provação porque o host não atendia à política de integridade definida.
Esse evento é gerado toda vez que o NPS coloca um usuário em provação após conceder acesso porque o host não conseguiu atender à política de integridade definida. Ele é registrado somente no NPS. |
| | 6278 | O NPS concedeu acesso a um usuário porque o host atendeu à política de integridade definida.
Esse evento é gerado toda vez que o NPS concede acesso a um usuário, pois o anfitrião cumpriu a política de integridade definida. Ele é registrado somente no NPS. |
| | 6279 | O NPS bloqueou a conta do usuário devido a repetidas tentativas fracassadas de autenticação.
Esse evento é gerado sempre que o NPS bloqueia uma conta de usuário devido a repetidas tentativas fracassadas de autenticação. Ele é registrado somente no NPS. |
| | 6280 | O NPS desbloqueou a conta do usuário.
Esse evento é gerado sempre que o NPS desbloqueia uma conta de usuário após o bloqueio da conta. Ele é registrado somente no NPS. |
| | 303 | Um cliente foi desconectado do recurso.
Esse evento é gerado sempre que um usuário em um computador cliente é desconectado do recurso de rede. Ele é registrado somente no TSG (Terminal Services Gateway), ou Gateway de serviços do terminal. |
| | 304 | O usuário atendeu aos requisitos da política de autorização de conexão e da política de autorização de recursos, mas não conseguiu se conectar ao recurso.
Esse evento é gerado toda vez que o usuário não consegue se conectar ao recurso de rede, mesmo depois de cumprir as políticas de conexão e de autorização de recursos. Ele é registrado somente no TSG (Terminal Services Gateway), ou Gateway de serviços do terminal |
| | 412 | Token AD FS emitido.
Esse evento é gerado sempre que o AD FS emite um token confiável para autenticar um usuário com base em um conjunto de declarações. Ele é registrado somente em um servidor de federação [um Windows Server no qual os AD FS (Active Directory Federation Services), ou Serviços de federação do Active Directory, estão instalados]. |
| | 500 | Identidade emitida.
Esse evento é gerado sempre que uma identidade exclusiva é emitida para identificar objetos de configuração e endereços de rede de parceiros. Ele é registrado somente em um servidor de federação. |
| | 501 | Identidade do chamador.
Esse evento é gerado sempre que ocorre uma falha na emissão do token para a identidade do chamador. Ele é registrado somente em um servidor de federação. |
| | 299 | Token emitido.
Esse evento é gerado sempre que um token é emitido pelo AD FS para ter as reivindicações necessárias para autorizar o acesso do usuário ao aplicativo. Ele é registrado somente em um servidor de federação. |
| | 403 | Identidade do chamador.
Esse evento é gerado sempre que o servidor DNS não consegue criar um soquete de TCP (Transmission Control Protocol), ou Protocolo de controle de transmissão. Ele é registrado somente em um servidor de federação. |
| | 1200 | Êxito do token de aplicação.
Esse evento é gerado sempre que um token de aplicação é emitido com êxito pelo AD FS para uma solicitação de autenticação. Ele é registrado somente em um servidor de federação. |
| | 1201 | Falha no token de aplicação.
Esse evento é gerado sempre que a emissão de um token de aplicação pelo AD FS falha em uma solicitação de autenticação. Ele é registrado somente em um servidor de federação. |
| | 2093 | A função FSMO não está respondendo.
Esse evento é gerado toda vez que o servidor remoto, ou seja, a FSMO (Flexible Single Master Operation), ou Operação flexíveis de mestre único, não responde. Ele é registrado somente em controladores de domínio. |
| | 1837 | Uma tentativa de transferir a função de mestre de operações falhou.
Esse evento é gerado toda vez que uma tentativa de transferir a função de FSMO pelo usuário falha. Ele é registrado somente em controladores de domínio. |
| | 2089 | Nenhum backup dessa partição do diretório foi feito pelo menos nos seguintes dias.
Esse evento é gerado sempre que um backup não é criado desde o limite de latência de backup ativado. Ele é registrado somente em controladores de domínio. |
| | 2889 | Vínculo do LDAP (Lightweight Directory Access Protocol), ou Protocolo de acesso do diretório leve.
Esse evento é gerado sempre que um cliente inicia uma associação de LDAP sem solicitar a verificação de que o servidor de diretórios não está configurado para rejeitar. Ele é registrado somente em controladores de domínio. |
| | 4769 | Um ticket de serviço do Kerberos foi solicitado.
Esse evento é gerado sempre que um usuário solicita acesso a um recurso de rede, como um computador, o que faz com que o KDC (Key Distribution Center), ou Centro de distribuição de chaves, receba uma solicitação de ticket do TGS (Ticket Granting Service), ou Serviço de concessão de tickets, do Kerberos para autenticação. Ele é registrado somente em controladores de domínio. |
| | 4672 | Privilégios especiais atribuídos ao novo login.
Esse evento é gerado sempre que privilégios de confidencialidade são atribuídos a uma nova sessão de login. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4908 | A tabela de login de grupos especiais foi modificada.
Esse evento é gerado sempre que um SID (Security Identifier), ou Identificador de segurança, é adicionado a um grupo especial para fins de auditoria. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4798 | A associação de um usuário um grupo local foi enumerada.
Esse evento é gerado sempre que um processo enumera a lista de grupos de segurança aos quais um usuário pertence. Ele é registrado nos member servers e nas estações de trabalho. |
| | 4729 | Um membro foi removido de um grupo global com segurança ativada.
Esse evento é gerado quando um usuário, grupo ou computador é removido de um grupo global com segurança ativada. Ele é registrado somente em controladores de domínio. |
| | 4730 | Um grupo global com segurança ativada foi excluído.
Esse evento é gerado quando um grupo global com segurança ativada é excluído. Ele é registrado somente em controladores de domínio. |
| | 4731 | Um grupo local com segurança ativada foi criado.
Esse evento é gerado quando um grupo local com segurança ativada é criado. Ele é registrado em controladores de domínio para grupos locais de domínio, ou em computadores de membros para grupos SAM locais. |
| | 4732 | Um membro foi adicionado a um grupo local com segurança ativada.
Esse evento é gerado quando usuários, grupos ou computadores são adicionados a um grupo local com segurança ativada. Ele é registrado em controladores de domínio para grupos locais de domínio, ou em computadores de membros para grupos SAM locais. |
| | 4733 | Um membro foi removido de um grupo local com segurança ativada.
Esse evento é gerado quando usuários, grupos ou computadores são removidos de um grupo local com segurança ativada. Ele é registrado em controladores de domínio para grupos locais de domínio, ou em computadores de membros para grupos SAM locais. |
| | 4734 | Um grupo local com segurança ativada foi excluído.
Esse evento é gerado quando um grupo local com segurança ativada é excluído. Ele é registrado em controladores de domínio para grupos locais de domínio, ou em computadores de membros para grupos SAM locais. |
| | 4735 | Um grupo local com segurança ativada foi alterado.
Esse evento é gerado quando um grupo local com segurança ativada é alterado. Ele é registrado em controladores de domínio para grupos locais de domínio, ou em computadores de membros para grupos SAM locais. |
| | 4737 | Um grupo global com segurança ativada foi alterado.
Esse evento é gerado quando um grupo global com segurança ativada é alterado. Ele é registrado somente em controladores de domínio. |
| | 4738 | Uma conta de usuário foi alterada.
Esse evento é gerado quando os atributos de um objeto de usuário são alterados. Ele é registrado em controladores de domínio para contas de domínio e em computadores de membros para contas locais. |
| | 4739 | A Política de domínio foi alterada.
Esse evento é gerado quando uma Política de domínio do Active Directory é alterada. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4759 | Um grupo universal com segurança desativada foi criado.
Esse evento é gerado quando um grupo de distribuição universal é criado. Ele é registrado somente em controladores de domínio. |
| | 4760 | Uma conta de grupo universal com segurança desativada foi alterada.
Esse evento é gerado quando um grupo de distribuição universal é alterado. Ele é registrado somente em controladores de domínio. |
| | 4761 | Um membro foi adicionado a um grupo universal com segurança desativada.
Esse evento é gerado quando objetos do Active Directory, como usuários, grupos ou computadores, são adicionados a um grupo de distribuição universal. Ele é registrado somente em controladores de domínio. |
| | 4762 | Um membro foi removido de um grupo universal com segurança desativada.
Esse evento é gerado quando objetos do Active Directory, como usuários, grupos ou computadores, são removidos de um grupo de distribuição universal. Ele é registrado somente em controladores de domínio. |
| | 4763 | Um grupo universal com segurança desativada foi excluído.
Esse evento é gerado quando um grupo de distribuição universal é excluído. Ele é registrado somente em controladores de domínio. |
| | 4764 | Um tipo de grupo foi alterado.
Esse evento é gerado quando um tipo de grupo ou escopo é alterado. Ele é registrado somente em controladores de domínio. |
| | 4781 | O nome de uma conta foi alterado.
Esse evento é gerado quando o nome de uma conta de usuário ou de computador (atributo sAMAccountName) é alterado. Ele é registrado somente em controladores de domínio para contas de computador e em controladores de domínio e computadores de membros para contas de usuário. |
| | 5137 | Um objeto de serviço do diretório foi criado.
Esse evento é gerado quando um objeto do Active Directory é criado, desde que as SACLs apropriadas sejam configuradas para o objeto pai. Ele é registrado somente em controladores de domínio. |
| | 5139 | Um objeto de serviço do diretório foi movido.
Esse evento é gerado quando um objeto do Active Directory é movido de uma OU para outra. Ele é registrado somente em controladores de domínio. |
| | 5141 | Um objeto de serviço do diretório foi excluído.
Esse evento é gerado quando um objeto do Active Directory é excluído. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4659 | Um identificador para um objeto foi solicitado com a intenção de excluí-lo.
Esse evento é gerado quando um patch instalado exige a substituição de um arquivo aberto pelo Windows. Ele é registrado em controladores de domínio e computadores de membros. |
| | 6416 | Um novo dispositivo externo foi reconhecido pelo sistema.
Esse evento é gerado quando um novo dispositivo externo, como um USB, é conectado ao sistema. Ele é registrado nos servidores e estações de trabalho. |
| | 4608 | O Windows está sendo iniciado.
Esse evento é gerado quando uma máquina Windows é iniciada. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4609 | O Windows está sendo desligado.
Esse evento é gerado quando uma máquina Windows está sendo desligada. Ele é registrado em controladores de domínio e computadores de membros. |
| | 1102 | O log de auditoria foi apagado.
Esse evento é gerado sempre que o log de segurança é limpo. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4614 | Um pacote de notificação foi carregado pelo Security Account Manager.
Esse evento é gerado quando um usuário tenta alterar sua senha. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4616 | A hora do sistema foi alterada.
Esse evento é gerado quando a hora do sistema é alterada. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4704 | Um direito de usuário foi atribuído.
Esse evento é gerado quando um usuário recebe privilégios. Ele é registrado somente em controladores de domínio. |
| | 4705 | Um direito de usuário foi removido.
Esse evento é gerado quando os privilégios de um usuário são removidos. Ele é registrado somente em controladores de domínio. |
| | 4719 | A política de auditoria do sistema foi alterada.
Esse evento é gerado quando uma política de auditoria é desativada, independentemente da configuração da subcategoria "Alteração da política de auditoria". Ele é registrado em controladores de domínio e computadores de membros. |
| | 4662 | Uma operação foi executada em um objeto.
Esse evento é gerado quando um usuário acessa um objeto do Active Directory. Ele é registrado somente em controladores de domínio. |
| | 5140 | Um objeto de compartilhamento de rede foi acessado.
Esse evento é gerado quando um objeto de compartilhamento de rede é acessado. Ele é registrado em controladores de domínio e computadores de membros. |
| | 5142 | Um objeto de compartilhamento de rede foi adicionado.
Esse evento é gerado sempre que um objeto de compartilhamento de rede é adicionado. Ele é registrado em controladores de domínio e computadores de membros. |
| | 5143 | Um objeto de compartilhamento de rede foi modificado.
Esse evento é gerado sempre que um objeto de compartilhamento de rede é modificado. Ele é registrado em controladores de domínio e computadores de membros. |
| | 5144 | Um objeto de compartilhamento de rede foi excluído.
Esse evento é gerado sempre que um objeto de compartilhamento de rede é excluído. Ele é registrado em controladores de domínio e computadores de membros. |
| | 9999 | Um objeto foi renomeado.
Esse evento é gerado quando um objeto do Active Directory é renomeado. Ele é registrado em controladores de domínio e computadores de membros. |
| | 521 | Não é possível registrar eventos no log de segurança.
Esse evento é gerado quando o Windows não consegue gravar eventos no log de eventos de segurança. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4697 | Um serviço foi instalado no sistema.
Esse evento é gerado quando um novo serviço é instalado em um sistema. Ele é registrado em controladores de domínio e computadores de membros. |
| | 1100 | O serviço de registro de eventos foi encerrado.
Esse evento é gerado durante um desligamento normal do sistema e quando o serviço de Log de eventos do Windows é desligado. Ele é registrado em controladores de domínio e computadores de membros. |
| | 1202 | Êxito na validação de credenciais recentes.
Esse evento é gerado quando novas credenciais são validadas com êxito pelo AD FS. Ele é registrado em controladores de domínio e computadores de membros. |
| | 1203 | Erro de validação de credencial recente.
Esse evento é gerado quando a validação da nova credencial falha no AD FS. Ele é registrado em controladores de domínio e computadores de membros. |
| | 1210 | Bloqueio da extranet.
Esse evento é gerado quando um usuário é bloqueado ou quando um usuário bloqueado tenta fazer login no AD FS. Ele é registrado em controladores de domínio e computadores de membros. |
| | 516 | Bloqueio da extranet.
Esse evento é gerado quando uma conta de usuário é bloqueada devido a muitos envios de senhas incorretas para o AD FS. Ele é registrado em controladores de domínio e computadores de membros. |
| | 410 | Bloqueio da extranet.
Esse evento é gerado logo após o início de uma solicitação de autenticação do AD FS e contém cabeçalhos de contexto. Ele é registrado em controladores de domínio e computadores de membros. |
| | 411 | Bloqueio da extranet.
Esse evento do AD FS é gerado quando a validação do token falha. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4618 | Ocorreu um padrão de evento de segurança monitorado.
Esse evento é gerado quando o Windows é configurado para gerar alertas de acordo com os requisitos de análise de auditoria de segurança de Common Criteria (Critérios comuns) e ocorre um padrão de evento auditável. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4649 | Um ataque de repetição foi detectado.
Esse evento é gerado quando os mesmos pacotes são enviados por um dispositivo de rede mal configurado entre o servidor e o cliente. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4765 | O histórico de SID foi adicionado a uma conta.
Esse evento é gerado quando o histórico de SID é adicionado a uma conta no Active Directory. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4766 | Uma tentativa de adicionar o histórico de SID a uma conta falhou.
Esse evento é gerado quando há uma tentativa de adicionar o histórico de SID a uma conta. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4799 | Uma associação de grupo local com segurança ativada foi enumerada.
Esse evento é gerado quando um processo enumera os grupos de segurança locais de um usuário em um computador ou dispositivo. Ele é registrado em controladores de domínio e computadores de membros. |
| | 5378 | A delegação de credenciais solicitada não foi permitida pela política.
Esse evento é gerado quando a delegação de CredSSP para uma sessão de double-hop do WinRM não é configurada corretamente. Ele é registrado em controladores de domínio e computadores de membros. |
| | 5633 | Foi feita uma solicitação de autenticação em uma rede com fio.
Esse evento é gerado quando um adaptador de rede se conecta a uma nova rede com fio e uma tentativa de autenticação 802.1x é feita para essa rede. Ele é registrado em controladores de domínio e computadores de membros. |
| | 5632 | Foi feita uma solicitação para se autenticar em uma rede sem fio.
Esse evento é gerado quando um adaptador de rede se conecta a uma nova rede sem fio e uma tentativa de autenticação 802.1x é feita para essa rede. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4610 | Um pacote de autenticação foi carregado pela Autoridade de segurança local.
Esse evento é gerado na inicialização para cada pacote de autenticação no sistema. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4611 | Um processo de login confiável foi registrado na Autoridade de segurança local.
Esse evento é gerado quando um processo de login é registrado na Autoridade de segurança local para enviar solicitações de login confiáveis. Ele é registrado em controladores de domínio e computadores de membros. |
| | 4622 | Um pacote de segurança foi carregado pela Autoridade de segurança local.
Esse evento é gerado quando um pacote de segurança é carregado pela Autoridade de segurança local. Ele é registrado em controladores de domínio e computadores de membros. |
| | 7045 | Um novo serviço foi instalado no sistema.
Um novo serviço foi instalado no sistema. |
| | 4740 | Uma conta de usuário foi bloqueada.
Esse evento é gerado quando uma conta de usuário é bloqueada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4741 | Uma conta de computador foi criada.
Esse evento é gerado quando um novo objeto de computador é criado. Ele é registrado somente em controladores de domínio. |
| | 4742 | Uma conta de computador foi alterada.
Esse evento é gerado quando um objeto de computador é alterado. Ele é registrado somente em controladores de domínio. |
| | 4743 | Uma conta de computador foi excluída.
Esse evento é gerado quando um objeto de computador é excluído. Ele é registrado somente em controladores de domínio. |
| | 4754 | Um grupo universal com segurança ativada foi criado.
Esse evento é gerado quando um grupo de segurança universal é criado. Ele é registrado somente em controladores de domínio. |
| | 4755 | Um grupo universal com segurança ativada foi alterado.
Esse evento é gerado quando um grupo de segurança universal é alterado. Ele é registrado somente em controladores de domínio. |
| | 4756 | Um membro foi adicionado a um grupo universal com segurança ativada.
Esse evento é gerado quando um membro é adicionado a um grupo de segurança universal. Ele é registrado somente em controladores de domínio. |
| | 4757 | Um membro foi removido de um grupo universal com segurança ativada.
Esse evento é gerado quando um membro é removido de um grupo de segurança universal. Ele é registrado somente em controladores de domínio. |
| | 4758 | Um grupo universal com segurança ativada foi excluído.
Esse evento é gerado quando um grupo de segurança universal é excluído. Ele é registrado somente em controladores de domínio. |
| | 4767 | Uma conta de usuário foi desbloqueada.
Esse evento é gerado quando uma conta de usuário é desbloqueada (quando a caixa de seleção Desbloquear conta na guia da conta do usuário é selecionada). Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 5136 | Um objeto de serviço do diretório foi modificado.
Esse evento é gerado quando um objeto do Active Directory é modificado. Ele é registrado somente em controladores de domínio. |
| | 5138 | Um objeto de serviço do diretório não foi excluído.
Esse evento é gerado quando um objeto do Active Directory não é excluído. Ele é registrado somente em controladores de domínio. |
| | 4624 | Uma conta foi conectada com sucesso.
Esse evento é gerado quando há um login bem-sucedido em um computador local. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4625 | Falha ao fazer login em uma conta.
Esse evento é gerado quando há uma tentativa com falha de fazer login em um computador local. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4800 | Uma estação de trabalho foi bloqueada.
Esse evento é gerado quando uma estação de trabalho é bloqueada (quando um usuário bloqueia manualmente sua estação de trabalho, ou quando a estação de trabalho se bloqueia automaticamente após um período de inatividade). Ele é registrado somente em estações de trabalho. |
| | 4801 | Uma estação de trabalho foi desbloqueada.
Esse evento é gerado quando uma estação de trabalho é desbloqueada. Ele é registrado somente em estações de trabalho. |
| | 4647 | Logoff iniciado pelo usuário.
Esse evento é gerado quando o logoff é iniciado. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4778 | Uma sessão foi reconectada a um Window Station.
Esse evento é gerado quando um usuário se reconecta a uma sessão existente dos Serviços de terminal, ou quando um usuário muda para um desktop existente usando a Troca rápida de usuário. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4779 | Uma sessão foi desconectada de um Window Station.
Esse evento é gerado quando um usuário se desconecta de uma sessão existente dos Serviços de terminal, ou quando um usuário sai de um desktop existente usando a Troca rápida de usuário. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4802 | O protetor de tela foi invocado.
Esse evento é gerado quando uma estação de trabalho ativa o protetor de tela em resposta a um período de inatividade. Ele é registrado somente em estações de trabalho. |
| | 4714 | A política de recuperação de dados criptografados foi alterada.
Esse evento é gerado quando a política do agente de recuperação de dados de Configurações de segurança\ Políticas de chave pública\Sistema de criptografia de arquivos é modificada (por meio da Política de segurança local ou da Política de grupo no Active Directory). Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4717 | Foi concedido acesso à segurança do sistema a uma conta.
Esse evento é gerado quando um direito de login (como "Acessar este computador pela rede") é concedido a uma conta. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4718 | O acesso à segurança do sistema foi removido de uma conta.
Esse evento é gerado quando um direito de login (como "Acessar este computador pela rede") é removido de uma conta. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4688 | Um novo processo foi criado.
Esse evento é gerado quando um novo processo é iniciado. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4689 | Um processo foi encerrado.
Esse evento é gerado quando um processo termina. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4698 | Uma tarefa agendada foi criada.
Esse evento é gerado quando uma nova tarefa agendada é criada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4699 | Uma tarefa agendada foi excluída.
Esse evento é gerado quando uma tarefa agendada é excluída. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4700 | Uma tarefa agendada foi ativada.
Esse evento é gerado quando uma tarefa agendada é ativada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4701 | Uma tarefa agendada foi desativada.
Esse evento é gerado quando uma tarefa agendada é desativada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 4702 | Uma tarefa agendada foi atualizada.
Esse evento é gerado quando uma tarefa agendada é atualizada ou alterada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 1101 | Eventos de auditoria foram descartados pelo transporte.
Esse evento é gerado ao reiniciar o Windows após um desligamento incorreto. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 1104 | O log de segurança agora está cheio.
Esse evento é gerado quando o log de segurança do Windows fica cheio. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 1105 | Backup automático do log de eventos.
Esse evento é gerado quando o log de segurança do Windows fica cheio e um novo arquivo de log de eventos é criado (por exemplo, quando o tamanho máximo do arquivo de Logs de eventos de segurança é atingido e o método de retenção do log de eventos é definido como "Arquivar o log quando cheio, não sobrescrever eventos"). Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 1108 | O serviço de log de eventos encontrou um erro.
Esse evento é gerado quando o serviço de log de eventos encontra um erro ao processar um evento de entrada. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 201 | O Agendador de tarefas concluiu uma tarefa com êxito.
Esse evento é gerado quando o Agendador de tarefas conclui uma tarefa. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 202 | O Agendador de tarefas falhou ao concluir uma tarefa.
Esse evento é gerado quando o Agendador de tarefas não consegue concluir uma tarefa. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 203 | O Agendador de tarefas falhou ao iniciar uma tarefa.
Esse evento é gerado quando o Agendador de tarefas falha ao iniciar uma tarefa. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 204 | As políticas de NAP (Network Access Protection), ou Proteção de Acesso à Rede, não foram atendidas, portanto, o usuário não estava autorizado a se conectar ao servidor de Gateway de TS.
Esse evento é gerado quando as políticas de NAP não são atendidas, portanto, o usuário não está autorizado a se conectar ao servidor de Gateway de TS. Ele é registrado somente em servidores de Gateway. |
| | 301 | Os requisitos da política de autorização de recursos não foram atendidos, portanto, o usuário não estava autorizado a acessar o servidor de Gateway de TS.
Esse evento é gerado quando os requisitos da política de autorização de recursos não são atendidos, portanto, o usuário não é autorizado a acessar o servidor de Gateway de TS. Ele é registrado somente em servidores de Gateway. |
| | 302 | Usuário conectado ao servidor de Gateway de TS.
Esse evento é gerado quando o usuário se conecta ao servidor de Gateway de TS. Ele é registrado somente em servidores de Gateway. |
| | 4794 | Foi feita uma tentativa de definir a senha do administrador do Modo de restauração dos Serviços de diretório.
Esse evento é gerado quando a senha do administrador do DSRM (Directory Services Restore Mod), ou Modo de restauração dos Serviços de diretório é alterada. Ele é registrado somente em controladores de domínio. |
| | 4897 | Separação de funções ativada.
Esse evento é gerado quando um servidor AD CS é iniciado e sempre que a separação de funções é realmente alterada. Ele é registrado somente nos servidores AD CS (Active Directory Certificate Services), ou Serviços de Certificados do Active Directory. |
| | 4964 | Esse evento é gerado quando um servidor AD CS é iniciado e sempre que a separação de funções é realmente alterada. Ele é registrado somente nos servidores AD CS (Active Directory Certificate Services), ou Serviços de Certificados do Active Directory.
Esse evento é gerado quando uma conta que é membro de qualquer Grupo especial definido faz login. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 5124 | Uma configuração de segurança foi atualizada no Serviço de respondedor OCSP.
Esse evento é gerado quando uma configuração de segurança é atualizada no Serviço de respondedor OCSP. Ele é registrado somente em respondedores OCSP/servidores AD CS. |
| | 2887 | Assinatura LDAP.
Esse evento é gerado quando um computador cliente tenta um vínculo LDAP não assinado. Ele é registrado somente em controladores de domínio. |
| | 1644 | Pesquisas LDAP.
Esse evento é gerado quando uma pesquisa LDAP feita por um cliente no diretório viola os limites de pesquisa baratos e/ou ineficientes (ela só será registrada se você definir a chave de registro de Engenharia de campo como 5 ou superior). Ele é registrado somente em controladores de domínio. |
| | 1643 | Número de pesquisas LDAP.
Esse evento registra o número de pesquisas LDAP realizadas em um intervalo de tempo e cada vez que a coleta de lixo é executada em um controlador de domínio (ela só será registrada se você definir a chave de registro de Engenharia de campo como 4 ou superior). Ele é registrado somente em controladores de domínio. |
| | 1317 | A conexão LDAP atingiu o tempo limite.
Esse evento é gerado quando o controlador de domínio local desconecta a conexão LDAP do endereço de rede especificado devido a um tempo limite. Ele é registrado somente em controladores de domínio. |
| | 1458 | Função FSMO transferida.
Esse evento é gerado quando uma função FSMO é transferida de um controlador de domínio para outro. Ele é registrado somente em controladores de domínio. |
| | 2092 | Replicação FSMO.
Esse evento é gerado quando um servidor é proprietário de uma função FSMO, mas não a considera válida (erros de replicação impedem a validação da função). Ele é registrado somente em controladores de domínio. |
| | 4713 | A política do Kerberos foi alterada.
Esse evento é gerado quando a política do Kerberos é alterada. Ele é registrado somente em controladores de domínio. |
| | 6005 | O serviço de Log de eventos foi iniciado.
Esse evento é gerado quando o serviço de Log de eventos é iniciado. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 6006 | O serviço de Log de eventos foi interrompido.
Esse evento é gerado quando o serviço de Log de eventos é interrompido. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 6008 | Desligamento inesperado do sistema.
Esse evento é gerado quando um sistema é desligado inesperadamente. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
| | 1074 | O sistema foi desligado por um processo ou usuário.
Esse evento é gerado quando uma aplicação faz com que o sistema seja reiniciado, ou quando o usuário inicia uma reinicialização ou desligamento. Ele é registrado em controladores de domínio, member servers e estações de trabalho. |
