事件查看器日志详解●帐号登录事件(事件编号与描述)672身份验证服务（AS）票证得到成功发行与验证。673票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。674安全主体重建AS票证或TGS票证。675预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。676身份验证票证请求失败。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。677TGS票证无法得到授权。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。678指定帐号成功映射到一个域帐号。681登录失败。域帐号尝试进行登录。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。682用户重新连接到一个已经断开连接的终端服务器会话上。683用户在没有注销的情况下与终端服务器会话断开连接。●帐号管理事件624一个用户帐号被创建。627一个用户密码被修改。628一个用户密码被设置。630一个用户密码被删除。631一个全局组被创建。632一个成员被添加到特定全局组中。633一个成员从特定全局组中被删除。634一个全局组被删除。635一个新的本地组被创建。636一个成员被添加到本地组中。637一个成员从本地组中被删除。638一个本地组被删除。639一个本地组帐号被修改。641一个全局组帐号被修改。642一个用户帐号被修改。643一个域策略被修改。644一个用户帐号被自动锁定。645一个计算机帐号被创建。646一个计算机帐号被修改。647一个计算机帐号被删除。648一个禁用安全特性的本地安全组被创建。说明：正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。649一个禁用安全特性的本地安全组被修改。650一个成员被添加到一个禁用安全特性的本地安全组中。651一个成员从一个禁用安全特性的本地安全组中被删除。652一个禁用安全特性的本地组被删除。653一个禁用安全特性的全局组被创建。654一个禁用安全特性的全局组被修改。655一个成员被添加到一个禁用安全特性的全局组中。656一个成员从一个禁用安全特性的全局组中被删除。657一个禁用安全特性的全局组被删除。658一个启用安全特性的通用组被创建。659一个启用安全特性的通用组被修改。660一个成员被添加到一个启用安全特性的通用组中。661一个成员从一个启用安全特性的通用组中被删除。662一个启用安全特性的通用组被删除。663一个禁用安全特性的通用组被创建。664一个禁用安全特性的通用组被修改。665一个成员被添加到一个禁用安全特性的通用组中。666一个成员从一个禁用安全特性的通用组中被删除。667一个禁用安全特性的通用组被删除。668一个组类型被修改。684管理组成员的安全描述符被设置。说明：在域控制器上，一个后台线程每60秒将对管理组中的所有成员（如域管理员、企业管理员和架构管理员）进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。685一个帐号名称被修改。●审核登录事件528用户成功登录到计算机上。529登录失败：试图使用未知用户名或带有错误密码的已知用户名进行登录。530登录失败：试图在允许时间范围以外进行登录。531登录失败：试图通过禁用帐号进行登录。532登录失败：试图通过过期帐号进行登录。533登录失败：试图通过不允许在特定计算机上进行登录的用户帐号进行登录。534登录失败：用户试图通过不允许使用的密码类型进行登录。535登录失败：针对指定帐号的密码已经过期。536登录失败：网络登录服务未被激活。537登录失败：由于其它原因导致登录失败。说明：在某些情况下，登录失败原因可能无法确定。538针对某一用户的注销操作完成。539登录失败：登录帐号在登录时刻已被锁定。540用户成功登录到网络。541本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换（IKE）身份验证操作已经完成（建立一条安全关联），或者快速模式已经建立一条数据通道。542数据通道被中断。543主模式被中断。说明：这种事件可能在安全关联时间限制到期（缺省值为8小时）、策略修改或对等客户中断时发生。544由于对...