Event ID - для мониторинга.

Знать для сисадмина крайне необходимо 

Контроллеры доменов

• 675 или 4771 - (Аудит событий входа в систему) Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
• 676, или Failed 672 или 4768 - (Аудит событий входа в систему) Событие 676/4768 логируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже. В Windows 2003 Server событие отказа записывается как 672 вместо 676.
• 681 или Failed 680 или 4776 - (Аудит событий входа в систему) Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной. Коды ошибок NTLM приведены ниже. В Windows 2003 Server событие отказа записывается как 680 вместо 681.
• 642 или 4738 - (Аудит управления учетными записями) Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
• 632 или 4728; 636 или 4732; 660 или 4756 - (Аудит управления учетными записями) Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
• 624 или 4720 - (Аудит управления учетными записями) Была создана новая учетная запись пользователя
• 644 или 4740 - (Аудит управления учетными записями) Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
• 517 или 1102 - (Аудит системных событий) Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

• 528 или 4624 — Успешный вход в систему
• 529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
• 530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
• 531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
• 532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
• 533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
• 534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
• 535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
• 539 или 4625 — Отказ входа в систему – Учетная запись заблокирована

Типы входов в систему (Logon Types)

• 2 — Интерактивный (вход с клавиатуры или экрана системы)
• 3 — Сетевой
• 4 — Пакет (batch) (например, запланированная задача)
• 5 — Служба (Запуск службы)
• 7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
• 8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
• 9 — NewCredentials
• 10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
• 11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

• 6 — Имя пользователя не существует
• 12 — Ограничение рабочей машины; ограничение времени входа в систему
• 18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
• 23 — Истек срок действия пароля пользователя
• 24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
• 32 — Истек срок действия заявки. Это нормальное событие, которое логируется учетными записями компьютеров
• 37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

• 3221225572 — C0000064 — Такого имени пользователя не существует
• 3221225578 — C000006A — Верное имя пользователя, но неверный пароль
• 3221226036 — C0000234 — Учетная запись пользователя заблокирована
• 3221225586 — C0000072 — Учетная запись деактивирована
• 3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
• 3221225584 — C0000070 — Ограничение рабочей станции
• 3221225875 — C0000193 — Истек срок действия учетной записи
• 3221225585 — C0000071 — Истек срок действия пароля
• 3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему