最近在研究伺服器的安全性，發現有未知登入，然後開始研究，當然第一步是需要讀懂事件日誌的，winserver上的事件是按照事件ID來標示的。
　　審計目錄服務訪問
　　4934 - Active Directory 物件的屬性被複制
　　4935 -複製失敗開始
　　4936 -複製失敗結束
　　5136 -目錄服務物件已修改
　　5137 -目錄服務物件已建立
　　5138 -目錄服務物件已刪除
　　5139 -目錄服務物件已經移動
　　5141 -目錄服務物件已刪除
　　4932 -命名上下文的AD的副本同步已經開始
　　4933 -命名上下文的AD的副本同步已經結束
　　審計登入事件
　　4634 - 帳戶被登出
　　4647 - 使用者發起登出
　　4624 - 帳戶已成功登入
　　4625 - 帳戶登入失敗
　　4648 - 試圖使用明確的憑證登入
　　4675 - SID被過濾
　　4649 - 發現重放攻擊
　　4778 -會話被重新連線到Window Station
　　4779 -會話斷開連線到Window Station
　　4800 – 工作站被鎖定
　　4801 - 工作站被解鎖
　　4802 - 螢幕保護程式啟用
　　4803 -螢幕保護程式被禁用
　　5378 所要求的憑證代表是政策所不允許的
　　5632 要求對無線網路進行驗證
　　5633 要求對有線網路進行驗證
　　審計物件訪問
　　5140 - 網路共享物件被訪問
　　4664 - 試圖建立一個硬連結
　　4985 - 交易狀態已經改變
　　5051 - 檔案已被虛擬化
　　5031 - Windows防火牆服務阻止一個應用程式接收網路中的入站連線
　　4698 -計劃任務已建立
　　4699 -計劃任務已刪除
　　4700 -計劃任務已啟用
　　4701 -計劃任務已停用
　　4702 -計劃任務已更新
　　4657 -登錄檔值被修改
　　5039 -登錄檔項被虛擬化
　　4660 -物件已刪除
　　4663 -試圖訪問一個物件
　　審計政策變化
　　4715 - 物件上的審計政策(SACL)已經更改
　　4719 - 系統審計政策已經更改
　　4902 - Per-user稽核政策表已經建立
　　4906 - CrashOnAuditFail值已經變化
　　4907 - 物件的審計設定已經更改
　　4706 - 建立到域的新信任
　　4707 - 到域的信任已經刪除
　　4713 - Kerberos政策已更改
　　4716 - 信任域資訊已經修改
　　4717 - 系統安全訪問授予帳戶
　　4718 - 系統安全訪問從帳戶移除
　　4864 - 名字空間碰撞被刪除
　　4865 - 信任森林資訊條目已新增
　　4866 - 信任森林資訊條目已刪除
　　4867 - 信任森林資訊條目已取消
　　4704 - 使用者許可權已分配
　　4705 - 使用者許可權已移除
　　4714 - 加密資料復原政策已取消
　　4944 - 當開啟Windows Firewall時下列政策啟用
　　4945 - 當開啟Windows Firewall時列入一個規則
　　4946 - 對Windows防火牆例外列表進行了修改，新增規則
　　4947 - 對Windows防火牆例外列表進行了修改，規則已修改
　　4948 - 對Windows防火牆例外列表進行了修改，規則已刪除
　　4949 - Windows防火牆設定已恢復到預設值
　　4950 - Windows防火牆設定已更改
　　4951 - 因為主要版本號碼不被Windows防火牆承認，規則已被忽視
　　4952 - 因為主要版本號碼不被Windows防火牆承認，部分規則已被忽視，將執行規則的其餘部分
　　4953 - 因為Windows防火牆不能解析規則，規則被忽略
　　4954 - Windows防火牆組政策設定已經更改，將使用新設定
　　4956 - Windows防火牆已經更改主動資料
　　4957 - Windows防火牆不適用於以下規則
　　4958 - 因為該規則涉及的條目沒有被配置，Windows防火牆將不適用以下規則：
　　6144 - 組策略物件中的安全政策已經成功運用
　　6145 - 當處理組策略物件中的安全政策時發生一個或者多個錯誤
　　4670 - 物件的許可權已更改
　　審計特權使用
　　4672 - 給新登入分配特權
　　4673 - 要求特權服務
　　4674 - 試圖對特權物件嘗試操作
　　審計系統事件
　　5024 - Windows防火牆服務已成功啟動
　　5025 - Windows防火牆服務已經被停止
　　5027 - Windows防火牆服務無法從本地儲存檢索安全政策，該服務將繼續執行目前的政策
　　5028 - Windows防火牆服務無法解析的新的安全政策，這項服務將繼續執行目前的政策
　　5029 - Windows防火牆服務無法初始化的驅動程式，這項服務將繼續執行目前的政策
　　5030 - Windows防火牆服務無法啟動
　　5032 - Windows防火牆無法通知使用者它阻止了接收入站連線的應用程式
　　5033 - Windows防火牆驅動程式已成功啟動
　　5034 - Windows防火牆驅動程式已經停止
　　5035 - Windows防火牆驅動程式未能啟動
　　5037 - Windows防火牆驅動程式檢測到關鍵執行錯誤，終止。
　　4608 -Windows正在啟動
　　4609 - Windows正在關機
　　4616 - 系統時間被改變
　　4621 - 管理員從CrashOnAuditFail回收系統，非管理員的使用者現在可以登入，有些審計活動可能沒有被記錄
　　4697 - 系統中安裝伺服器
　　4618 - 監測安全事件樣式已經發生
　　想檢視所有事件的完整列表，請訪問微軟網站：