부록 L: 모니터링할 이벤트
다음 표에서는 Active Directory 손상 징후 모니터링에 제공된 권장 사항에 따라 사용자 환경에서 모니터링해야 하는 이벤트를 나열합니다. "현재 Windows 이벤트 ID" 컬럼에는 현재 일반 지원 상태인 Windows 및 Windows Server 버전에서 구현되는 이벤트 ID가 나열됩니다.
"레거시 Windows 이벤트 ID" 컬럼에는 Windows XP 또는 이전 버전을 실행하는 클라이언트 컴퓨터 및 Windows Server 2003 이하를 실행하는 서버와 같은 레거시 버전의 Windows의 이벤트 ID가 나열됩니다. "잠재적 중요도" 열은 공격을 탐지할 때 이벤트를 낮음, 중간 또는 높음 중요도로 간주해야 하는지 여부를 식별하고, "이벤트 요약" 열은 이벤트에 대한 간략한 설명을 제공합니다.
잠재적 중요도 높음은 한 번 발생한 이벤트도 조사해야 함을 의미합니다. 잠재적 중요도 중간 또는 낮음은 이러한 이벤트가 측정 기간 동안 예상 기준을 현저하게 초과하는 횟수로 예기치 않게 발생하는 경우, 또는 메시지의 내용이 특정 조건을 충족하는 경우에만 조사해야 함을 의미합니다. 모든 조직은 필수 조사 응답이 필요한 경고를 만들기 전에 해당 환경에서 이러한 권장 사항을 테스트해야 합니다. 모든 환경은 서로 다르며, 잠재적 중요도 높음으로 순위가 지정된 일부 이벤트는 다른 해가 없는 이벤트로 인해 발생할 수 있습니다.
| 현재 Windows 이벤트 ID | 레거시 Windows 이벤트 ID | 잠재적 중요도 | 이벤트 요약 |
|---|---|---|---|
| 4618 | 해당 없음 | 높음 | 모니터링된 보안 이벤트 패턴이 발생했습니다. |
| 4649 | 해당 없음 | 높음 | 재생 공격을 감지했습니다. 잘못된 구성 오류로 인해 무해한 가양성일 수 있습니다. |
| 4719 | 612 | 높음 | 시스템 감사 정책을 변경했습니다. |
| 4765 | 해당 없음 | 높음 | SID 기록을 계정에 추가했습니다. |
| 4766 | 해당 없음 | 높음 | SID 기록을 계정에 추가하지 못했습니다. |
| 4794 | 해당 없음 | 높음 | 디렉터리 서비스 복원 모드 설정을 시도하였습니다. |
| 4897 | 801 | 높음 | 역할 구분 사용: |
| 4964 | 해당 없음 | 높음 | 특정 그룹이 새 로그온에 할당되었습니다. |
| 5124 | 해당 없음 | 높음 | OCSP 응답기 서비스에서 보안 설정이 업데이트되었습니다. |
| 해당 없음 | 550 | 중간 - 높음 | DoS(Denial-of-Service) 공격 가능성 |
| 1102 | 517 | 중간 - 높음 | 감사 로그가 지워졌습니다. |
| 4621 | 해당 없음 | 중간 | 관리자가 CrashOnAuditFail로부터 시스템을 복구했습니다. 이제 관리자 이외의 사용자가 로그온할 수 있습니다. 감사 가능한 일부 작업이 기록되지 않았을 수도 있습니다. |
| 4675 | 해당 없음 | 중간 | SID를 필터링했습니다. |
| 4692 | 해당 없음 | 중간 | 데이터 보호 마스터 키의 백업을 시도했습니다. |
| 4693 | 해당 없음 | 중간 | 데이터 보호 마스터 키의 복구를 시도했습니다. |
| 4706 | 610 | 중간 | 도메인에 대한 새 트러스트가 생성되었습니다. |
| 4713 | 6:17 | 중간 | Kerberos 정책이 변경되었습니다. |
| 4714 | 618 | 중간 | 암호화된 데이터 복구 정책이 변경되었습니다. |
| 4715 | 해당 없음 | 중간 | 개체에 대한 감사 정책(SACL)을 변경했습니다. |
| 4716 | 620 | 중간 | 트러스트된 도메인 정보를 수정했습니다. |
| 4724 | 628 | 중간 | 계정 암호 재설정을 시도하였습니다. |
| 4727 | 631 | 중간 | 보안 설정된 로컬 그룹을 만들었습니다. |
| 4735 | 639 | 중간 | 보안 설정된 로컬 그룹을 변경했습니다. |
| 4737 | 641 | 중간 | 보안 설정된 wjsdur 그룹을 삭제했습니다. |
| 4,739 | 643 | 중간 | 도메인 정책을 변경했습니다. |
| 4754 | 658 | 중간 | 보안 설정된 유니버설 그룹을 만들었습니다. |
| 4755 | 659 | 중간 | 보안 설정된 유니버설 그룹을 변경했습니다. |
| 4764 | 667 | 중간 | 보안 비활성화된 그룹이 삭제되었습니다. |
| 4764 | 668 | 중간 | 그룹 형식을 변경했습니다. |
| 4780 | 684 | 중간 | ACL이 관리자 그룹 멤버의 계정에 설정되었습니다. |
| 4816 | 해당 없음 | 중간 | RPC에서 들어오는 메시지의 암호를 해독하는 동안 무결성 위반을 감지했습니다. |
| 4865 | 해당 없음 | 중간 | 트러스트된 포리스트 정보 항목을 추가했습니다. |
| 4866 | 해당 없음 | 중간 | 트러스트된 포리스트 정보 항목을 제거했습니다. |
| 4867 | 해당 없음 | 중간 | 트러스트된 포리스트 정보 항목을 수정했습니다. |
| 4868 | 772 | 중간 | 인증서 관리자가 대기된 인증서 요청을 거부했습니다. |
| 4870 | 774 | 중간 | 인증서 서비스에서 인증서를 취소했습니다. |
| 4882 | 786 | 중간 | 인증서 서비스의 보안 권한이 변경되었습니다. |
| 4885 | 789 | 중간 | 인증서 서비스의 감사 필터가 변경되었습니다. |
| 4890 | 794 | 중간 | 인증서 서비스의 인증서 관리자 설정이 변경되었습니다. |
| 4,892 | 796 | 중간 | 인증서 서비스의 속성이 변경되었습니다. |
| 4896 | 800 | 중간 | 인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다. |
| 4906 | 해당 없음 | 중간 | CrashOnAuditFail 값을 변경했습니다. |
| 4907 | 해당 없음 | 중간 | 개체의 감사 설정을 변경했습니다. |
| 4908 | 해당 없음 | 중간 | 특정 그룹 로그온 테이블을 수정했습니다. |
| 4912 | 807 | 중간 | 사용자별 감사 정책을 변경했습니다. |
| 4960 | 해당 없음 | 중간 | IPsec이 무결성 검사에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 지속되면 네트워크 문제가 발생하거나 패킷이 이 컴퓨터로 전송 중 수정되고 있음을 나타낼 수 있습니다. 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받은 패킷과 동일한지 확인합니다. 이 오류는 다른 IPsec 구현과의 상호 운용성 문제를 나타낼 수도 있습니다. |
| 4961 | 해당 없음 | 중간 | IPsec이 재생 확인에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 지속되면 이 컴퓨터에 대한 재생 공격을 나타낼 수 있습니다. |
| 4962 | 해당 없음 | 중간 | IPsec이 재생 확인에 실패한 인바운드 패킷을 삭제했습니다. 인바운드 패킷의 시퀀스 번호가 너무 낮아서 재생이 아닌지 확인할 수 없습니다. |
| 4963 | 해당 없음 | 중간 | IPsec이 보호되어야 하는 인바운드 일반 텍스트 패킷을 삭제했습니다. 이는 일반적으로 원격 컴퓨터가 이 컴퓨터에 알리지 않고 IPsec 정책을 변경하기 때문입니다. 이는 스푸핑 공격 시도일 수도 있습니다. |
| 4965 | 해당 없음 | 중간 | IPsec이 원격 컴퓨터에서 잘못된 SPI(Security Parameter Index)가 포함된 패킷을 받았습니다. 이는 일반적으로 패킷이 손상된 하드웨어의 오작동으로 인해 발생합니다. 이 오류가 지속되면 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받은 패킷과 동일한지 확인합니다. 이 오류는 다른 IPsec 구현과의 상호 운용성 문제를 나타낼 수도 있습니다. 이 경우 연결이 방해되지 않으면 이 이벤트를 무시할 수 있습니다. |
| 4976 | 해당 없음 | 중간 | 기본 모드 협상 중에 IPsec이 잘못된 협상 패킷을 받았습니다. 이 문제가 지속되면 네트워크 문제 또는 이 협상을 수정하거나 재생하려는 시도를 나타낼 수 있습니다. |
| 4977 | 해당 없음 | 중간 | 빠른 모드 협상 중에 IPsec이 잘못된 협상 패킷을 받았습니다. 이 문제가 지속되면 네트워크 문제 또는 이 협상을 수정하거나 재생하려는 시도를 나타낼 수 있습니다. |
| 4978 | 해당 없음 | 중간 | 확장 모드 협상 중에 IPsec이 잘못된 협상 패킷을 받았습니다. 이 문제가 지속되면 네트워크 문제 또는 이 협상을 수정하거나 재생하려는 시도를 나타낼 수 있습니다. |
| 4983 | 해당 없음 | 중간 | IPsec 확장 모드 협상이 실패했습니다. 해당 기본 모드 보안 연결이 삭제되었습니다. |
| 4984 | 해당 없음 | 중간 | IPsec 확장 모드 협상이 실패했습니다. 해당 기본 모드 보안 연결이 삭제되었습니다. |
| 5,027 | 해당 없음 | 중간 | Windows 방화벽 서비스가 로컬 스토리지에서 보안 정책을 검색할 수 없습니다. 서비스가 현재 정책을 계속 적용합니다. |
| 5028 | 해당 없음 | 중간 | Windows 방화벽 서비스가 새 보안 정책을 구문 분석할 수 없습니다. 서비스는 현재 적용되어 있는 정책을 유지합니다. |
| 5029 | 해당 없음 | 중간 | Windows 방화벽 서비스가 드라이버를 초기화하지 못했습니다. 서비스가 현재 정책을 계속 적용합니다. |
| 5030 | 해당 없음 | 중간 | Windows 방화벽 서비스를 시작하지 못했습니다. |
| 5035 | 해당 없음 | 중간 | Windows 방화벽 드라이버를 시작하지 못했습니다. |
| 5037 | 해당 없음 | 중간 | Windows 방화벽 드라이버가 심각한 런타임 오류를 탐지했습니다. 종료됩니다. |
| 5038 | 해당 없음 | 중간 | 코드 무결성을 통해 파일의 이미지 해시가 잘못되었음을 확인했습니다. 무단 수정으로 인해 파일이 손상되거나 잘못된 해시가 디스크 디바이스 오류를 나타낼 수 있습니다. |
| 5120 | 해당 없음 | 중간 | OCSP 응답기 서비스 시작 |
| 5121 | 해당 없음 | 중간 | OCSP 응답기 서비스가 중지됨 |
| 5122 | 해당 없음 | 중간 | OCSP 응답기 서비스에서 변경된 구성 항목 |
| 5123 | 해당 없음 | 중간 | OCSP 응답기 서비스에서 변경된 구성 항목 |
| 5376 | 해당 없음 | 중간 | 자격 증명 관리자의 자격 증명을 백업했습니다. |
| 5377 | 해당 없음 | 중간 | 자격 증명 관리자의 자격 증명을 백업에서 복원했습니다. |
| 5453 | 해당 없음 | 중간 | IKE 및 IKEEXT(AuthIP IPsec Keying Modules) 서비스가 시작되지 않아 원격 컴퓨터와의 IPsec 협상이 실패했습니다. |
| 5480 | 해당 없음 | 중간 | IPsec 서비스가 컴퓨터에서 네트워크 인터페이스의 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스가 적용된 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 이로 인해 보안 위험이 발생할 수 있습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. |
| 5483 | 해당 없음 | 중간 | IPsec 서비스가 RPC 서버를 초기화하지 못했습니다. IPsec 서비스를 시작할 수 없습니다. |
| 5484 | 해당 없음 | 중간 | IPsec 서비스에서 심각한 오류가 발생하여 서비스가 종료되었습니다. IPsec 서비스를 종료하면 컴퓨터가 더 큰 네트워크 공격 위험에 처하거나 잠재적인 보안 위험에 노출될 수 있습니다. |
| 5485 | 해당 없음 | 중간 | IPsec 서비스가 네트워크 인터페이스에 대한 플러그 앤 플레이 이벤트에서 일부 IPsec 필터를 처리하지 못했습니다. 일부 네트워크 인터페이스가 적용된 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 이로 인해 보안 위험이 발생할 수 있습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. |
| 5827 | 해당 없음 | 중간 | Netlogon 서비스가 컴퓨터 계정에서 취약한 Netlogon 보안 채널 연결을 거부했습니다. |
| 5828 | 해당 없음 | 중간 | Netlogon 서비스가 트러스트 계정을 사용하여 취약한 Netlogon 보안 채널 연결을 거부했습니다. |
| 6145 | 해당 없음 | 중간 | 그룹 정책 개체에서 보안 정책을 처리하는 동안 하나 이상의 오류가 발생했습니다. |
| 6273 | 해당 없음 | 중간 | 네트워크 정책 서버가 사용자에 대한 액세스를 거부했습니다. |
| 6274 | 해당 없음 | 중간 | 네트워크 정책 서버가 사용자에 대한 요청을 삭제했습니다. |
| 6275 | 해당 없음 | 중간 | 네트워크 정책 서버가 사용자에 대한 계정을 삭제했습니다. |
| 6276 | 해당 없음 | 중간 | 네트워크 정책 서버가 사용자를 격리했습니다. |
| 6277 | 해당 없음 | 중간 | 네트워크 정책 서버가 사용자에 대한 액세스 권한을 부여했으나, 호스트가 정의된 상태 정책을 충족하지 않아 보호 관찰을 적용했습니다. |
| 6278 | 해당 없음 | 중간 | 호스트가 정의된 상태 정책을 충족했으므로 네트워크 정책 서버에서 사용자에 대한 모든 권한을 부여했습니다. |
| 6279 | 해당 없음 | 중간 | 네트워크 정책 서버가 반복된 인증 실패로 인해 사용자 계정을 잠갔습니다. |
| 6280 | 해당 없음 | 중간 | 네트워크 정책 서버가 사용자 계정을 잠금 해제했습니다. |
| - | 640 | 중간 | 일반 계정 데이터베이스가 변경됨 |
| - | 619 | 중간 | 서비스 품질 정책이 변경됨 |
| 24586 | 해당 없음 | 중간 | 볼륨을 변환하는 동안 오류가 발생했습니다. |
| 24592 | 해당 없음 | 중간 | 볼륨 %2에서 변환을 자동으로 다시 시작하지 못했습니다. |
| 24593 | 해당 없음 | 중간 | 메타데이터 쓰기: 볼륨 %2에서 메타데이터를 수정하는 동안 오류를 반환합니다. 오류가 계속되면 볼륨 암호를 해독합니다. |
| 24594 | 해당 없음 | 중간 | 메타데이터 다시 작성: 볼륨 %2에서 메타데이터 복사본을 작성하지 못하여 디스크 손상으로 나타날 수 있습니다. 오류가 계속되는 경우 볼륨 암호를 해독합니다. |
| 4608 | 512 | 낮음 | Windows가 시작됩니다. |
| 4609 | 513 | 낮음 | Windows를 종료하고 있습니다. |
| 4610 | 514 | 낮음 | 로컬 보안 기관이 인증 패키지를 로드했습니다. |
| 4611 | 515 | 낮음 | 신뢰할 수 있는 로그온 프로세스가 로컬 보안 기관에 등록되었습니다. |
| 4612 | 5:16 | 낮음 | 감사 메시지 큐에 할당된 내부 리소스가 없으므로 일부 감사 메시지가 손실됩니다. |
| 4614 | 5:18 | 낮음 | 보안 계정 관리자가 알림 패키지를 로드했습니다. |
| 4615 | 519 | 낮음 | LPC 포트의 잘못된 사용. |
| 4616 | 520 | 낮음 | 시스템 시간이 변경되었습니다. |
| 4622 | 해당 없음 | 낮음 | 로컬 보안 기관이 보안 패키지를 로드했습니다. |
| 4624 | 528,540 | 낮음 | 계정이 성공적으로 로그온했습니다. |
| 4625 | 529-537,539 | 낮음 | 계정에 로그온하지 못함 |
| 4634 | 538 | 낮음 | 계정이 로그오프되었습니다. |
| 4646 | 해당 없음 | 낮음 | IKE DoS 방지 모드가 시작되었습니다. |
| 4,647 | 551 | 낮음 | 사용자가 로그오프를 시작했습니다. |
| 4648 | 552 | 낮음 | 명시적 자격 증명을 사용하여 로그온을 시도했습니다. |
| 4650 | 해당 없음 | 낮음 | IPsec 기본 모드 보안 연결이 설정되었습니다. 확장 모드를 사용할 수 없습니다. 인증서 인증이 사용되지 않았습니다. |
| 4651 | 해당 없음 | 낮음 | IPsec 기본 모드 보안 연결이 설정되었습니다. 확장 모드를 사용할 수 없습니다. IP-HTTPS 인증에 인증서사 사용되었습니다. |
| 4652 | 해당 없음 | 낮음 | IPsec 기본 모드 협상이 실패했습니다. |
| 4653 | 해당 없음 | 낮음 | IPsec 기본 모드 협상이 실패했습니다. |
| 4654 | 해당 없음 | 낮음 | IPsec 빠른 모드 협상이 실패했습니다. |
| 4655 | 해당 없음 | 낮음 | IPsec 주 모드 보안 연결이 종료되었습니다. |
| 4656 | 560 | 낮음 | 개체에 대한 핸들을 요청했습니다. |
| 4657 | 567 | 낮음 | 레지스트리 값이 수정되었습니다. |
| 4,658 | 562 | 낮음 | 개체에 대한 핸들을 닫았습니다. |
| 4,659 | 해당 없음 | 낮음 | 삭제할 의도로 개체에 대한 핸들을 요청했습니다. |
| 4,660 | 564 | 낮음 | 개체가 삭제되었습니다. |
| 4661 | 565 | 낮음 | 개체에 대한 핸들을 요청했습니다. |
| 4662 | 566 | 낮음 | 개체에 대한 작업을 수행했습니다. |
| 4663 | 567 | 낮음 | 개체에 액세스하려고 했습니다. |
| 4664 | 해당 없음 | 낮음 | 하드 링크 생성을 시도했습니다. |
| 4665 | 해당 없음 | 낮음 | 애플리케이션 클라이언트 컨텍스트 생성을 시도했습니다. |
| 4666 | 해당 없음 | 낮음 | 애플리케이션이 작업을 시도했습니다. |
| 4667 | 해당 없음 | 낮음 | 애플리케이션 클라이언트 컨텍스트가 삭제되었습니다. |
| 4668 | 해당 없음 | 낮음 | 애플리케이션이 초기화되었습니다. |
| 4670 | 해당 없음 | 낮음 | 개체에 대한 권한을 변경했습니다. |
| 4671 | 해당 없음 | 낮음 | 응용 프로그램이 TBS를 통해 차단된 오디널에 액세스하려고 했습니다. |
| 4672 | 576 | 낮음 | 특수 권한을 새 로그온에 할당했습니다. |
| 4673 | 577 | 낮음 | 권한 있는 서비스를 호출했습니다. |
| 4674 | 578 | 낮음 | 권한 있는 개체에 대한 작업을 시도했습니다. |
| 4688 | 592 | 낮음 | 새 프로세스를 만들었습니다. |
| 4,689 | 593 | 낮음 | 프로세스가 종료되었습니다. |
| 4690 | 594 | 낮음 | 개체에 대한 핸들을 중복하려고 했습니다. |
| 4691 | 595 | 낮음 | 개체에 대한 간접 액세스를 요청했습니다. |
| 4694 | 해당 없음 | 낮음 | 감사 방지된 데이터의 보호를 시도했습니다. |
| 4695 | 해당 없음 | 낮음 | 감사 보호된 데이터의 보호 해제를 시도했습니다. |
| 4696 | 600 | 낮음 | 주 토큰을 프로세스에 할당했습니다. |
| 4697 | 601 | 낮음 | 서비스 설치 시도 |
| 4698 | 602 | 낮음 | 예약된 작업이 만들어졌습니다. |
| 4699 | 602 | 낮음 | 예약된 작업을 삭제했습니다. |
| 4700 | 602 | 낮음 | 예약된 작업을 사용하도록 설정했습니다. |
| 4701 | 602 | 낮음 | 예약된 작업이 사용할 수 없게 되었습니다. |
| 4702 | 602 | 낮음 | 예약된 작업이 업데이트되었습니다. |
| 4704 | 608 | 낮음 | 사용자 권한이 할당되었습니다. |
| 4705 | 609 | 낮음 | 사용자 권한이 제거되었습니다. |
| 4707 | 611 | 낮음 | 도메인에 대한 트러스트가 제거되었습니다. |
| 4709 | 해당 없음 | 낮음 | IPsec 서비스가 시작되었습니다. |
| 4710 | 해당 없음 | 낮음 | IPsec 서비스를 사용할 수 없게 되었습니다. |
| 4711 | 해당 없음 | 낮음 | 다음 중 하나를 포함할 수 있습니다. PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용했습니다. PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책을 적용했습니다. PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용했습니다. PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용하지 못했습니다. PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책 적용을 실패했습니다. PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용을 실패했습니다. PAStore 엔진이 컴퓨터에서 활성 IPsec 정책의 일부 규칙을 적용하지 못했습니다. PAStore 엔진이 컴퓨터에서 디렉터리 스토리지 IPsec 정책을 로드하지 못했습니다. PAStore 엔진이 컴퓨터에 디렉터리 스토리지 IPsec 정책을 로드했습니다. PAStore 엔진이 컴퓨터에서 로컬 스토리지 IPsec 정책을 로드하지 못했습니다. PAStore 엔진이 컴퓨터에 로컬 스토리지 IPsec 정책을 로드했습니다. PAStore 엔진이 활성 IPsec 정책의 변경 내용을 폴링했으며 변경 내용을 검색하지 못했습니다. |
| 4712 | 해당 없음 | 낮음 | IPsec Services에서 잠재적으로 심각한 오류가 발생했습니다. |
| 4717 | 621 | 낮음 | 계정에 시스템 보안 액세스를 허용했습니다. |
| 4718 | 622 | 낮음 | 시스템 보안 액세스를 계정에서 제거했습니다. |
| 4720 | 6:24 | 낮음 | 사용자 계정을 만들었습니다. |
| 4722 | 6:26 | 낮음 | 사용자 계정을 사용할 수 있습니다. |
| 4723 | 6:27 | 낮음 | 계정 암호를 변경하려고 했습니다. |
| 4,725 | 629 | 낮음 | 사용자 계정을 사용할 수 없습니다. |
| 4726 | 630 | 낮음 | 사용자 계정이 삭제되었습니다. |
| 4728 | 6:32 | 낮음 | 멤버를 보안된 wjsdur 그룹에 추가했습니다. |
| 4,729 | 633 | 낮음 | 멤버를 보안된 wjsdur 그룹에서 제거했습니다. |
| 4730 | 634 | 낮음 | 보안된 wjsdur 그룹을 삭제했습니다. |
| 4731 | 635 | 낮음 | 보안 설정된 로컬 그룹을 만들었습니다. |
| 4732 | 636 | 낮음 | 멤버를 보안된 로컬 그룹에 추가했습니다. |
| 4733 | 637 | 낮음 | 멤버를 보안된 로컬 그룹에서 제거했습니다. |
| 4734 | 6:38 | 낮음 | 보안 설정된 로컬 그룹을 삭제했습니다. |
| 4738 | 642 | 낮음 | 사용자 계정이 변경되었습니다. |
| 4740 | 644 | 낮음 | 사용자 계정이 잠겼습니다. |
| 4741 | 645 | 낮음 | 컴퓨터 계정이 변경되었습니다. |
| 4742 | 6:46 | 낮음 | 컴퓨터 계정이 변경되었습니다. |
| 4,743 | 647 | 낮음 | 컴퓨터 계정이 삭제되었습니다. |
| 4744 | 6:48 | 낮음 | 보안 해제된 로컬 그룹을 만들었습니다. |
| 4745 | 649 | 낮음 | 보안 해제된 로컬 그룹이 변경되었습니다. |
| 4746 | 650 | 낮음 | 멤버가 보안 해제된 로컬 그룹에 추가되었습니다. |
| 4747 | 651 | 낮음 | 멤버가 보안 해제된 로컬 그룹에서 제거되었습니다. |
| 4748 | 652 | 낮음 | 보안 해제된 로컬 그룹이 삭제되었습니다. |
| 4749 | 653 | 낮음 | 보안 해제된 전역 그룹이 생성되었습니다. |
| 4750 | 654 | 낮음 | 보안 해제된 전역 그룹이 변경되었습니다. |
| 4751 | 655 | 낮음 | 멤버가 보안 해제된 전역 그룹에 추가되었습니다. |
| 4752 | 656 | 낮음 | 멤버가 보안 해제된 전역 그룹에서 제거되었습니다. |
| 4753 | 657 | 낮음 | 보안 해제된 전역 그룹이 삭제되었습니다. |
| 4756 | 660 | 낮음 | 멤버를 보안 설정된 로컬 그룹에 추가했습니다. |
| 4757 | 661 | 낮음 | 멤버를 보안된 유니버설 그룹에서 제거했습니다. |
| 4758 | 662 | 낮음 | 보안된 유니버설 그룹을 삭제했습니다. |
| 4759 | 663 | 낮음 | 보안 해제된 유니버설 그룹이 생성되었습니다. |
| 4760 | 664 | 낮음 | 보안 해제된 유니버설 그룹이 변경되었습니다. |
| 4761 | 665 | 낮음 | 멤버가 보안 해제된 유니버설 그룹에 추가되었습니다. |
| 4762 | 666 | 낮음 | 멤버가 보안 해제된 유니버설 그룹에서 제거되었습니다. |
| 4767 | 671 | 낮음 | 사용자 계정 잠금이 해제되었습니다. |
| 4768 | 672,676 | 낮음 | Kerberos 인증 티켓(TGT)이 요청되었습니다. |
| 4769 | 673 | 낮음 | Kerberos 서비스 티켓을 요청했습니다. |
| 4770 | 674 | 낮음 | Kerberos 서비스 티켓이 갱신되었습니다. |
| 4771 | 675 | 낮음 | Kerberos 사전 인증에 실패했습니다. |
| 4772 | 672 | 낮음 | Kerberos 인증 티켓 요청이 실패했습니다. |
| 4774 | 678 | 낮음 | 로그온을 위한 계정이 매핑되었습니다. |
| 4775 | 679 | 낮음 | 로그온할 계정을 매핑할 수 없습니다. |
| 4776 | 680,681 | 낮음 | 도메인 컨트롤러에서 계정 자격 증명의 유효성 검사를 시도했습니다. |
| 4777 | 해당 없음 | 낮음 | 도메인 컨트롤러가 계정 자격 증명의 유효성을 검사하지 못했습니다. |
| 4,778 | 682 | 낮음 | 세션이 윈도우 스테이션에 다시 연결되었습니다. |
| 4779 | 683 | 낮음 | 윈도우 스테이션에서 세션 연결이 끊어졌습니다. |
| 4781 | 685 | 낮음 | 계정 이름을 변경했습니다. |
| 4782 | 해당 없음 | 낮음 | 계정 암호 해시에 액세스했습니다. |
| 4783 | 667 | 낮음 | 기본 애플리케이션 그룹이 만들어졌습니다. |
| 4784 | 해당 없음 | 낮음 | 기본 애플리케이션 그룹이 변경되었습니다. |
| 4,785 | 689 | 낮음 | 멤버가 기본 애플리케이션 그룹에 추가되었습니다. |
| 4786 | 690 | 낮음 | 멤버가 기본 애플리케이션 그룹에서 제거되었습니다. |
| 4787 | 691 | 낮음 | 비멤버가 기본 애플리케이션 그룹에 추가되었습니다. |
| 4788 | 692 | 낮음 | 비멤버가 기본 애플리케이션 그룹에서 제거되었습니다. |
| 4789 | 693 | 낮음 | 기본 애플리케이션 그룹이 삭제되었습니다. |
| 4790 | 694 | 낮음 | LDAP 쿼리 그룹이 만들어졌습니다. |
| 4793 | 해당 없음 | 낮음 | 암호 정책 확인 API가 호출되었습니다. |
| 4800 | 해당 없음 | 낮음 | 워크스테이션이 잠겨 있습니다. |
| 4801 | 해당 없음 | 낮음 | 워크스테이션 잠금이 해제되었습니다. |
| 4802 | 해당 없음 | 낮음 | 화면 보호기를 호출했습니다. |
| 4803 | 해당 없음 | 낮음 | 화면 보호기가 해제되었습니다. |
| 4864 | 해당 없음 | 낮음 | 네임스페이스 충돌을 감지했습니다. |
| 4869 | 773 | 낮음 | 인증서 서비스에서 다시 제출된 인증서 요청을 받았습니다. |
| 4871 | 775 | 낮음 | 인증서 서비스에서 CRL(인증서 해지 목록)을 게시하도록 요청받았습니다. |
| 4872 | 776 | 낮음 | 인증서 서비스에서 인증서 해지 목록(CRL)을 게시했습니다. |
| 4873 | 777 | 낮음 | 인증서 요청 확장이 변경되었습니다. |
| 4874 | 778 | 낮음 | 하나 이상의 인증서 요청 특성을 변경했습니다. |
| 4875 | 779 | 낮음 | 인증서 서비스에서 시스템 종료를 요청받았습니다. |
| 4876 | 780 | 낮음 | 인증서 서비스 백업이 시작되었습니다. |
| 4877 | 781 | 낮음 | 인증서 서비스 백업이 완료되었습니다. |
| 4878 | 782 | 낮음 | 인증서 서비스 복원이 시작되었습니다. |
| 4879 | 783 | 낮음 | 인증서 서비스 복원이 완료되었습니다. |
| 4880 | 784 | 낮음 | 인증서 서비스가 시작되었습니다. |
| 4881 | 785 | 낮음 | 인증서 서비스가 중지되었습니다. |
| 4883 | 787 | 낮음 | 인증서 서비스에서 저장된 키를 검색했습니다. |
| 4884 | 788 | 낮음 | 인증서 서비스에서 인증서를 데이터베이스로 가져왔습니다. |
| 4886 | 790 | 낮음 | 인증서 서비스에서 인증서 요청을 받았습니다. |
| 4887 | 791 | 낮음 | 인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발급했습니다. |
| 4888 | 792 | 낮음 | 인증서 서비스에서 인증서 요청을 거부했습니다. |
| 4889 | 793 | 낮음 | 인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정했습니다. |
| 4891 | REP 795 | 낮음 | 인증서 서비스에서 구성 항목이 변경되었습니다. |
| 4893 | 797 | 낮음 | 인증서 서비스에서 키를 저장했습니다. |
| 4894 | 798 | 낮음 | 인증서 서비스에서 키를 가져와서 저장했습니다. |
| 4895 | 799 | 낮음 | 인증서 서비스에서 Active Directory Domain Services에 CA 인증서를 게시했습니다. |
| 4898 | 802 | 낮음 | 인증서 서비스에서 템플릿을 로드했습니다. |
| 4902 | 해당 없음 | 낮음 | 사용자별 감사 정책 테이블을 만들었습니다. |
| 4904 | 해당 없음 | 낮음 | 보안 이벤트 원본 등록을 해제하려고 했습니다. |
| 4905 | 해당 없음 | 낮음 | 보안 이벤트 원본 등록을 해제하려고 했습니다. |
| 4909 | 해당 없음 | 낮음 | TBS에 대한 로컬 정책 설정을 변경했습니다. |
| 4910 | 해당 없음 | 낮음 | TBS에 대한 그룹 정책 설정을 변경했습니다. |
| 4928 | 해당 없음 | 낮음 | Active Directory 복제본 원본 명명 컨텍스트가 설정되었습니다. |
| 4929 | 해당 없음 | 낮음 | Active Directory 복제본 원본 명명 컨텍스트를 제거했습니다. |
| 4930 | 해당 없음 | 낮음 | Active Directory 복제본 원본 명명 컨텍스트가 수정되었습니다. |
| 4931 | 해당 없음 | 낮음 | Active Directory 복제본 대상 명명 컨텍스트를 수정했습니다. |
| 4932 | 해당 없음 | 낮음 | Active Directory 명명 컨텍스트의 복제본에 대한 동기화가 시작되었습니다. |
| 4933 | 해당 없음 | 낮음 | Active Directory 명명 컨텍스트의 복제본 동기화가 종료되었습니다. |
| 4,934 | 해당 없음 | 낮음 | Active Directory 개체의 특성을 복제했습니다. |
| 4935 | 해당 없음 | 낮음 | 복제 실패가 시작됩니다. |
| 4936 | 해당 없음 | 낮음 | 복제 실패가 종료됩니다. |
| 4937 | 해당 없음 | 낮음 | 복제본에서 느린 개체를 제거했습니다. |
| 4944 | 해당 없음 | 낮음 | Windows 방화벽이 시작되었을 때 활성 상태였던 정책은 다음과 같습니다. |
| 4945 | 해당 없음 | 낮음 | Windows 방화벽이 시작되었을 때의 규칙이 나열되었습니다. |
| 4946 | 해당 없음 | 낮음 | Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 추가되었습니다. |
| 4947 | 해당 없음 | 낮음 | Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 수정되었습니다. |
| 4948 | 해당 없음 | 낮음 | Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 삭제되었습니다. |
| 4949 | 해당 없음 | 낮음 | Windows 방화벽 설정을 기본값으로 복원했습니다. |
| 4950 | 해당 없음 | 낮음 | Windows 방화벽 설정이 변경되었습니다. |
| 4951 | 해당 없음 | 낮음 | 규칙의 주 버전 번호가 Windows 방화벽에서 인식되지 않았기 때문에 해당 규칙이 무시되었습니다. |
| 4952 | 해당 없음 | 낮음 | 규칙의 부 버전 번호가 Windows 방화벽에서 인식되지 않았기 때문에 해당 규칙의 일부가 무시되었습니다. 이 규칙의 다른 부분은 적용됩니다. |
| 4953 | 해당 없음 | 낮음 | 규칙을 구문 분석할 수 없으므로 Windows 방화벽에서 규칙이 무시되었습니다. |
| 4954 | 해당 없음 | 낮음 | Windows 방화벽 그룹 정책 설정이 변경되었습니다. 새 설정이 적용되었습니다. |
| 4956 | 해당 없음 | 낮음 | Windows 방화벽에서 활성 프로필을 변경했습니다. |
| 4,957 | 해당 없음 | 낮음 | Windows 방화벽에서 적용하지 않은 규칙은 다음과 같습니다. |
| 4958 | 해당 없음 | 낮음 | 규칙이 이 컴퓨터에 구성되어 있지 않은 항목을 참조했으므로 Windows 방화벽에서 다음 규칙을 적용하지 않았습니다. |
| 4979 | 해당 없음 | 낮음 | IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다. |
| 4980 | 해당 없음 | 낮음 | IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다. |
| 4981 | 해당 없음 | 낮음 | IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다. |
| 4982 | 해당 없음 | 낮음 | IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다. |
| 4985 | 해당 없음 | 낮음 | 트랜잭션 상태를 변경했습니다. |
| 5024 | 해당 없음 | 낮음 | Windows 방화벽 서비스를 시작했습니다. |
| 5025 | 해당 없음 | 낮음 | Windows 방화벽 서비스가 중지되었습니다. |
| 5031 | 해당 없음 | 낮음 | Windows 방화벽 서비스에서 응용 프로그램이 네트워크에서 들어오는 연결을 수락하지 못하도록 했습니다. |
| 5032 | 해당 없음 | 낮음 | Windows 방화벽이 사용자에게 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단했음을 알릴 수 없습니다. |
| 5033 | 해당 없음 | 낮음 | Windows 방화벽 드라이버가 성공적으로 시작되었습니다. |
| 5034 | 해당 없음 | 낮음 | Windows 방화벽 드라이버가 중지되었습니다. |
| 5039 | 해당 없음 | 낮음 | 레지스트리 키를 가상화했습니다. |
| 5040 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 인증 집합이 추가되었습니다. |
| 5041 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 인증 집합이 수정되었습니다. |
| 5042 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 인증 집합이 삭제되었습니다. |
| 5043 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 연결 보안 규칙이 추가되었습니다. |
| 5044 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 연결 보안 규칙이 변경되었습니다. |
| 5045 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 연결 보안 규칙이 삭제되었습니다. |
| 5046 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 암호화 집합이 추가되었습니다. |
| 5047 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 암호화 집합이 수정되었습니다. |
| 5048 | 해당 없음 | 낮음 | IPsec 설정이 변경되었습니다. 암호화 집합이 삭제되었습니다. |
| 5050 | 해당 없음 | 낮음 | InetFwProfile.FirewallEnabled(False) 호출을 사용하여 프로그래밍 방식으로 Windows 방화벽을 사용하지 않도록 설정하려는 시도 |
| 5051 | 해당 없음 | 낮음 | 파일을 가상화했습니다. |
| 5056 | 해당 없음 | 낮음 | 암호화 자체 테스트를 수행했습니다. |
| 5057 | 해당 없음 | 낮음 | 암호화 기본 작업이 실패했습니다. |
| 5058 | 해당 없음 | 낮음 | 키 파일 작업 |
| 5059 | 해당 없음 | 낮음 | 키 마이그레이션 작업. |
| 5060 | 해당 없음 | 낮음 | 확인 작업이 실패했습니다. |
| 5061 | 해당 없음 | 낮음 | 암호화 작업 |
| 5062 | 해당 없음 | 낮음 | 커널 모드 암호화 자체 테스트를 수행했습니다. |
| 5063 | 해당 없음 | 낮음 | 암호화 공급자 작업이 시도되었습니다. |
| 5064 | 해당 없음 | 낮음 | 암호화 컨텍스트 작업이 시도되었습니다. |
| 5065 | 해당 없음 | 낮음 | 암호화 컨텍스트 수정이 시도되었습니다. |
| 5,066 | 해당 없음 | 낮음 | 암호화 함수 작업이 시도되었습니다. |
| 5067 | 해당 없음 | 낮음 | 암호화 함수 수정이 시도되었습니다. |
| 5068 | 해당 없음 | 낮음 | 암호화 함수 공급자 작업이 시도되었습니다. |
| 5069 | 해당 없음 | 낮음 | 암호화 함수 속성 작업이 시도되었습니다. |
| 5070 | 해당 없음 | 낮음 | 암호화 함수 속성 수정이 시도되었습니다. |
| 5125 | 해당 없음 | 낮음 | 요청이 OCSP 응답기 서비스에 제출되었습니다. |
| 5126 | 해당 없음 | 낮음 | 서명 인증서는 OCSP 응답기 서비스에 의해 자동으로 업데이트되었습니다. |
| 5127 | 해당 없음 | 낮음 | OCSP 해지 공급자가 해지 정보를 업데이트했습니다. |
| 5136 | 566 | 낮음 | 디렉터리 서비스 개체를 수정했습니다. |
| 5137 | 566 | 낮음 | 디렉터리 서비스 개체가 생성되었습니다. |
| 5138 | 해당 없음 | 낮음 | 디렉터리 서비스 개체가 삭제 취소되었습니다. |
| 5139 | 해당 없음 | 낮음 | 디렉터리 서비스 개체가 이동되었습니다. |
| 5140 | 해당 없음 | 낮음 | 네트워크 공유 개체에 액세스했습니다. |
| 5,141 | 해당 없음 | 낮음 | 디렉터리 서비스 개체가 삭제되었습니다. |
| 5152 | 해당 없음 | 낮음 | Windows 필터링 플랫폼에서 패킷을 차단했습니다. |
| 5153 | 해당 없음 | 낮음 | 더 제한적인 Windows 필터링 플랫폼 필터가 패킷을 차단했습니다. |
| 5154 | 해당 없음 | 낮음 | Windows 필터링 플랫폼에서 응용 프로그램 또는 서비스의 들어오는 연결에 대한 포트 수신을 허용했습니다. |
| 5155 | 해당 없음 | 낮음 | Windows 필터링 플랫폼에서 응용 프로그램 또는 서비스의 들어오는 연결에 대한 포트 수신을 차단했습니다. |
| 5156 | 해당 없음 | 낮음 | Windows 필터링 플랫폼에서 연결을 허용했습니다. |
| 5157 | 해당 없음 | 낮음 | F: Windows 필터링 플랫폼에서 연결을 차단했습니다. |
| 5158 | 해당 없음 | 낮음 | Windows 필터링 플랫폼에서 로컬 포트에 대한 바인딩을 허용했습니다. |
| 5159 | 해당 없음 | 낮음 | Windows 필터링 플랫폼에서 로컬 포트에 대한 바인딩을 차단했습니다. |
| 5378 | 해당 없음 | 낮음 | 정책에 따라 요청한 자격 증명 위임이 허용되지 않습니다. |
| 5440 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 설명선이 있었습니다. |
| 5441 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 필터가 있었습니다. |
| 5442 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 공급자가 있었습니다. |
| 5443 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 공급자 컨텍스트가 있었습니다. |
| 5444 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 하위 계층이 있었습니다. |
| 5446 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 설명선이 변경되었습니다. |
| 5447 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 필터가 변경되었습니다. |
| 5448 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 공급자가 변경되었습니다. |
| 5449 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 공급자 컨텍스트가 변경되었습니다. |
| 5450 | 해당 없음 | 낮음 | Windows 필터링 플랫폼 하위 계층이 변경되었습니다. |
| 5451 | 해당 없음 | 낮음 | IPsec 빠른 모드 보안 연결이 설정되었습니다. |
| 5452 | 해당 없음 | 낮음 | IPsec 빠른 모드 보안 연결이 종료되었습니다. |
| 5456 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책을 적용했습니다. |
| 5457 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책 적용을 실패했습니다. |
| 5458 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용했습니다. |
| 5459 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용하지 못했습니다. |
| 5460 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용했습니다. |
| 5461 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용을 실패했습니다. |
| 5462 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에서 활성 IPsec 정책의 일부 규칙을 적용하지 못했습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. |
| 5463 | 해당 없음 | 낮음 | PAStore 엔진이 활성 IPsec 정책의 변경 내용을 폴링했으며 변경 내용을 감지하지 못했습니다. |
| 5464 | 해당 없음 | 낮음 | PAStore 엔진이 활성 IPsec 정책의 변경 내용을 폴링하고, 변경 내용을 검색하고, IPsec 서비스에 적용했습니다. |
| 5465 | 해당 없음 | 낮음 | PAStore 엔진이 IPsec 정책의 강제 다시 로드에 대한 컨트롤을 수신하고 컨트롤을 성공적으로 처리했습니다. |
| 5466 | 해당 없음 | 낮음 | PAStore 엔진이 Active Directory IPsec 정책의 변경 내용을 폴링하여, Active Directory에 연결할 수 없음을 확인했기에, 그 대신 Active Directory IPsec 정책의 캐시된 복사본을 사용할 것입니다. 마지막 설문 조사 이후 Active Directory IPsec 정책에 대한 변경 내용을 적용할 수 없습니다. |
| 5467 | 해당 없음 | 낮음 | PAStore 엔진이 Active Directory IPsec 정책의 변경 내용을 폴링하여, Active Directory에 연결할 수 있음을 확인했으며, 정책에 대한 변경 내용을 찾지 못했습니다. Active Directory IPsec 정책의 캐시된 복사본은 더 이상 사용되지 않습니다. |
| 5468 | 해당 없음 | 낮음 | PAStore 엔진이 Active Directory IPsec 정책의 변경 내용을 폴링하여, Active Directory에 연결할 수 있음을 확인했으며, 정책에 대한 변경 내용을 찾아서 적용했습니다. Active Directory IPsec 정책의 캐시된 복사본은 더 이상 사용되지 않습니다. |
| 5471 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 로컬 스토리지 IPsec 정책을 로드했습니다. |
| 5472 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에서 로컬 스토리지 IPsec 정책을 로드하지 못했습니다. |
| 5473 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에 디렉터리 스토리지 IPsec 정책을 로드했습니다. |
| 5474 | 해당 없음 | 낮음 | PAStore 엔진이 컴퓨터에서 디렉터리 스토리지 IPsec 정책을 로드하지 못했습니다. |
| 5477 | 해당 없음 | 낮음 | PAStore 엔진이 빠른 모드 필터를 추가하지 못했습니다. |
| 5479 | 해당 없음 | 낮음 | IPsec 서비스가 성공적으로 종료되었습니다. IPsec 서비스를 종료하면 컴퓨터가 더 큰 네트워크 공격 위험에 처하거나 잠재적인 보안 위험에 노출될 수 있습니다. |
| 5632 | 해당 없음 | 낮음 | 유선 네트워크 인증을 요청했습니다. |
| 5633 | 해당 없음 | 낮음 | 유선 네트워크 인증을 요청했습니다. |
| 5712 | 해당 없음 | 낮음 | RPC(원격 프로시저 호출)을 시도했습니다. |
| 5888 | 해당 없음 | 낮음 | COM+ 카탈로그의 개체를 수정했습니다. |
| 5889 | 해당 없음 | 낮음 | COM+ 카탈로그에서 개체를 삭제했습니다. |
| 5890 | 해당 없음 | 낮음 | COM+ 카탈로그에 개체를 추가했습니다. |
| 6008 | 해당 없음 | 낮음 | 시스템이전에 예기치 않게 종료되었습니다 |
| 6144 | 해당 없음 | 낮음 | 그룹 정책 개체의 보안 정책이 올바르게 적용되었습니다. |
| 6272 | 해당 없음 | 낮음 | 네트워크 정책 서버가 사용자에 대한 액세스를 허가했습니다. |
| 해당 없음 | 561 | 낮음 | 개체에 대한 핸들을 요청했습니다. |
| 해당 없음 | 563 | 낮음 | 삭제를 위해 열려 있는 개체 |
| 해당 없음 | 625 | 낮음 | 사용자 계정 유형 변경됨 |
| 해당 없음 | 613 | 낮음 | IPsec 정책 에이전트 시작됨 |
| 해당 없음 | 614 | 낮음 | IPsec 정책 에이전트 사용 안 함 |
| 해당 없음 | 615 | 낮음 | IPsec 정책 에이전트 |
| 해당 없음 | 오후 6:16:04 | 낮음 | IPsec 정책 에이전트에 심각한 오류가 발생했습니다. |
| 24577 | 해당 없음 | 낮음 | 볼륨 암호화 시작됨 |
| 24578 | 해당 없음 | 낮음 | 볼륨 암호화 중지됨 |
| 24579 | 해당 없음 | 낮음 | 볼륨 암호화 완료됨 |
| 24580 | 해당 없음 | 낮음 | 볼륨 암호 해독 시작됨 |
| 24581 | 해당 없음 | 낮음 | 볼륨 암호 해독 중지됨 |
| 24582 | 해당 없음 | 낮음 | 볼륨 암호 해독 완료됨 |
| 24583 | 해당 없음 | 낮음 | 볼륨 변환 작업자 스레드 시작 |
| 24584 | 해당 없음 | 낮음 | 볼륨 변환 작업자 스레드 일시 중지 |
| 24588 | 해당 없음 | 낮음 | 볼륨 %2의 변환 작업에서 잘못된 섹터 오류가 발생했습니다. 이 볼륨의 데이터 유효성을 검사하세요. |
| 24595 | 해당 없음 | 낮음 | 볼륨 %2에 잘못된 클러스터가 포함되어 있습니다. 이러한 클러스터는 변환 중에 건너뜁니다. |
| 24621 | 해당 없음 | 낮음 | 초기 상태 검사: %2 롤링 볼륨 변환 트랜잭션. |
| 5049 | 해당 없음 | 낮음 | IPsec 보안 연결이 삭제되었습니다. |
| 5478 | 해당 없음 | 낮음 | IPsec 서비스가 성공적으로 시작되었습니다. |
참고 항목
여러 가지 보안 이벤트 ID 목록 및 의미에 대해서는 Windows 보안 감사 이벤트 를 참조하세요.
모든 보안 이벤트 ID의 매우 자세한 목록에 대해서는 wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true 를 실행, 참조하세요.
Windows 보안 이벤트 ID 및 해당 의미에 대한 자세한 내용은 Microsoft 지원 문서 기본 보안 감사 정책 설정을 참조하세요. 참조된 운영 체제에 대한 자세한 이벤트 정보를 스프레드시트 형식으로 제공하는 Windows 보안 감사 이벤트를 다운로드할 수도 있습니다.