Windows 2003 事件查看器常见事件ID

0 操作成功完成1 函数不正确2 系统找不到指定的文件3 系统找不到指定的路径4 系统无法打开文件5 拒绝访问6 句柄无效7存储控制块被损坏8 存储空间不足，无法处理此命令9 存储控制块地址无效10 环境不正确11 试图加载格式不正确的程序12 访问码无效13 数据无效14 存储空间不足，无法完成此操作15 系统找不到指定的驱动器16 无法删除目录17 系统无法将文件移到不同的驱动器18 没有更多文件19 介质受写入保护20 系统找不到指定的设备21 设备未就绪22 设备不识别此命令23 数据错误(循环冗余检查)24程序发出命令，但命令长度不正确25 驱动器找不到磁盘上特定区域或磁道26 无法访问指定的磁盘或软盘27 驱动器找不到请求的扇区28 打印机缺纸29 系统无法写入指定的设备30 系统无法从指定的设备上读取31 连到系统上的设备没有发挥作用。

32 另一个程序正在使用此文件，进程无法访问33 另一个程序已锁定文件的一部分，进程无法访问36 用来共享的打开文件过多38 已到文件结尾39 磁盘已满50 不支持请求51 Windows 无法找到网络路径。

请确认网络路径正确并且目标计算机不忙或已关闭。

如果Windows 仍然无法找到网络路径，请与网络管理员联系52 由于网络上有重名，没有连接。

请到“控制面板”中的“系统”更改计算机名，然后重试53 找不到网络路径54 网络很忙55 指定的网络资源或设备不再可用56 已达到网络BIOS 命令限制57 网络适配器硬件出错58 指定的服务器无法运行请求的操作59 出现了意外的网络错误60 远程适配器不兼容61 打印机队列已满62 服务器上没有储存等待打印的文件的空间63 已删除等候打印的文件64 指定的网络名不再可用65 拒绝网络访问66 网络资源类型不对67 找不到网络名68 超出本地计算机网络适配器卡的名称限制69 超出了网络BIOS 会话限制70 远程服务器已暂停，或正在启动过程中71 已达到计算机的连接数最大值，无法再同此远程计算机连接72 已暂停指定的打印机或磁盘设备80 文件存在82 无法创建目录或文件83 INT 24 上的故障84 无法取得处理此请求的存储空间85 本地设备名已在使用中86 指定的网络密码不正确87 参数不正确88 网络上发生写入错误89 系统无法在此时启动另一个进程100 无法创建另一个系统信号灯101 另一个进程拥有独占的信号灯102 已设置信号灯，无法关闭103 无法再设置信号灯104 无法在中断时请求独占的信号灯105 此信号灯的前一个所有权已结束107 由于没有插入另一个软盘，程序停止108 磁盘在使用中，或被另一个进程锁定109 管道已结束110 系统无法打开指定的设备或文件111 文件名太长112 磁盘空间不足113 没有更多的内部文件标识符114 目标内部文件标识符不正确117 应用程序发出的IOCTL 调用不正确118 验证写入的切换参数值不正确119 系统不支持请求的命令120 这个系统不支持该功能121 信号灯超时时间已到122 传递给系统调用的数据区域太小123 文件名、目录名或卷标语法不正确124系统调用级别不正确125 磁盘没有卷标126 找不到指定的模块127 找不到指定的程序128 没有等候的子进程130 试图使用操作(而非原始磁盘I/O)的已打开磁盘分区的文件句柄131 试图将文件指针移到文件开头之前132 无法在指定的设备或文件上设置文件指针133 包含先前加入驱动器的驱动器无法使用JOIN 或SUBST 命令134 试图在已被合并的驱动器上使用JOIN 或SUBST 命令135 试图在已被合并的驱动器上使用JOIN 或SUBST 命令136 系统试图解除未合并驱动器的JOIN137 系统试图解除未替代驱动器的SUBST138 系统试图将驱动器合并到合并驱动器上的目录139 系统试图将驱动器替代为替代驱动器上的目录140 系统试图将驱动器合并到替代驱动器上的目录141 系统试图替代驱动器为合并驱动器上的目录142 系统无法在此时运行JOIN 或SUBST143 系统无法将驱动器合并到或替代为相同驱动器上的目录144 目录不是根目录下的子目录145 目录不是空的146 指定的路径已在替代中使用147 资源不足，无法处理此命令148 指定的路径无法在此时使用149 企图将驱动器合并或替代为驱动器上目录是上一个替代的目标的驱动器150 系统跟踪信息未在CONFIG.SYS 文件中指定，或不允许跟踪151 为DosMuxSemWait 指定的信号灯事件数量不正确152 DosMuxSemWait 没有运行；已设置过多的信号灯153 DosMuxSemWait 列表不正确154输入的卷标超过目标文件系统的长度限制155 无法创建另一个线程156 接收人进程拒绝此信号157 段已被放弃且无法锁定158 段已解除锁定159 线程ID 的地址不正确160 至少有一个参数不正确161 指定的路径无效162 信号已暂停164 无法在系统中创建更多的线程167 无法锁定文件区域170 请求的资源在使用中173 对于提供取消区域进行锁定的请求已完成174 文件系统不支持锁定类型的最小单元更改180 系统检测出错误的段183 当文件已存在时，无法创建该文186 传递的标志不正187 找不到指定的系统信号灯名196 操作系统无法运行此应用程197 操作系统当前的配置不能运行此应用程199 操作系统无法运行此应用程序200 代码段不可大于或等于64K203 操作系统找不到已输入的环境选项205 命令子树中的进程没有信号处理程序206 文件名或扩展名太长207 第2 环堆栈已被占用208 没有正确输入文件名通配符* 或?，或指定过多的文件名通配符209 正在发送的信号不正确210 无法设置信号处理程212 段已锁定且无法重新分配214 连到该程序或动态链接模块的动态链接模块太多215 无法嵌套调用LoadModule230 管道状态无效231 所有的管道范例都在使用中232 管道正在被关闭233 管道的另一端上无任何进程234有更多数据可用240 已取消会话254 指定的扩展属性名无效255 扩展属性不一致258 等待的操作过时259 没有可用的数据了266 无法使用复制功能267 目录名无效275 扩展属性在缓冲区中不适用276 装在文件系统上的扩展属性文件已损坏277 扩展属性表格文件已满278 指定的扩展属性句柄无效282 装入的文件系统不支持扩展属性288 企图释放并非呼叫方所拥有的多用户终端运行程序298 发向信号灯的请求过多299 仅完成部分的ReadProcessMemoty 或WriteProcessMemory 请求300操作锁定请求被拒绝301 系统接收了一个无效的操作锁定确认302 此卷太碎，不能完成这个操作303 不能打开文件，因为它正在被删除487 试图访问无效的地址534算术结果超过32 位535 管道的另一端有一进程536 等候打开管道另一端的进程994 拒绝访问扩展属性995 由于线程退出或应用程序请求，已放弃I/O 操作996 重叠I/O 事件不在信号状态中997 重叠I/O 操作在进行中998 内存分配访问无效999 执行页内操作时的错误1001 递归太深；堆栈溢出1002 窗口无法在已发送的消息上操作1003 无法完成此功能1004 无效标志1005 此卷不包含可识别的文件系统。

Windows2003 事件查看器事件ID对应解释使用本模块可以实现下列目标：•识别由Microsoft® Windows Server™ 2003 操作系统生成的安全事件。

返回顶部适用范围本模块适用于下列产品和技术：•W indows Server 2003返回顶部如何使用本模块本模块是“Windows Server 2003 安全指南”的补充内容。

本模块中的表可以用作快速参考，以帮助您识别在Microsoft® Windows 操作系统事件日志中所记录的与安全有关的事件。

本模块还可以用来帮助配置系统监视软件，如Microsoft Operations Manager (MOM)。

返回顶部帐户登录事件表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

表1：审核帐户登录事件事件事件描述ID672 已成功颁发和验证身份验证服务(AS) 票证。

673 授权票证服务(TGS) 票证已授权。

TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证，允许用户对域中的特定服务进行身份验证。

674 安全主体已更新AS 票证或TGS 票证。

675 预身份验证失败。

用户键入错误的密码时，密钥发行中心(KDC) 生成此事件。

676 身份验证票证请求失败。

在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。

677 TGS 票证未被授权。

在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。

678 帐户已成功映射到域帐户。

681 登录失败。

尝试进行域帐户登录。

在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。

682 用户已重新连接至已断开的终端服务器会话。

683 用户未注销就断开终端服务器会话。

返回顶部帐户管理事件表2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。

0 操作成功完成。

1 函数不正确。

2 系统找不到指定的文件。

3 系统找不到指定的路径。

4 系统无法打开文件。

5 拒绝访问。

6 句柄无效。

7 存储控制块被损坏。

8 存储空间不足，无法处理此命令。

9 存储控制块地址无效。

10 环境不正确。

11 试图加载格式不正确的程序。

12 访问码无效。

13 数据无效。

14 存储空间不足，无法完成此操作。

15 系统找不到指定的驱动器。

16 无法删除目录。

17 系统无法将文件移到不同的驱动器。

18 没有更多文件。

19 介质受写入保护。

20 系统找不到指定的设备。

21 设备未就绪。

22 设备不识别此命令。

23 数据错误(循环冗余检查)。

24 程序发出命令，但命令长度不正确。

25 驱动器找不到磁盘上特定区域或磁道。

26 无法访问指定的磁盘或软盘。

27 驱动器找不到请求的扇区。

28 打印机缺纸。

29 系统无法写入指定的设备。

30 系统无法从指定的设备上读取。

31 连到系统上的设备没有发挥作用。

32 另一个程序正在使用此文件，进程无法访问。

33 另一个程序已锁定文件的一部分，进程无法访问。

36 用来共享的打开文件过多。

38 已到文件结尾。

39 磁盘已满。

50 不支持请求。

51 Windows 无法找到网络路径。

请确认网络路径正确并且目标计算机不忙或已关闭。

如果 Windows 仍然无法找到网络路径，请与网络管理员联系。

52 由于网络上有重名，没有连接。

请到“控制面板”中的“系统”更改计算机名，然后重试。

53 找不到网络路径。

54 网络很忙。

55 指定的网络资源或设备不再可用。

56 已达到网络 BIOS 命令限制。

57 网络适配器硬件出错。

58 指定的服务器无法运行请求的操作。

59 出现了意外的网络错误。

60 远程适配器不兼容。

61 打印机队列已满。

62 服务器上没有储存等待打印的文件的空间。

63 已删除等候打印的文件。

64 指定的网络名不再可用。

65 拒绝网络访问。

66 网络资源类型不对。

windows日志常用事件
常用事件：1074 6005 6006
事件1074：在系统的事件跟踪程序开启的情况下，可以通过这个事件查看计算机的开机、关机、重启的时间以及原因和注释。

在windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。

事件6005：表示计算机日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005，就说明这天正常启动了windows系统。

事件6006：表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID为6006的事件，就表示计算机在这天没关机或没有正常关机（可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作）。

如果事件6005和6006的记录时间相差很短，大致可判断为重启（当然可以通过事件1074进行详细的查看）。

事件1007：表示该计算机无法从DHCP服务器获得相应的信息。

在很多网络环境中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP 地址配置客户端，并且在windows日志中产生一个事件ID号为1007的事件。

如果用户在事件日志中发现该编号事件，就说明该机器无法从DHCP服务器获得信息。

就要查看是该机器的网络故障还是DHCP 服务器的问题了。

Windows 事件ID及解释大全(XP、2000、2003)(4000-)代码错误信息解释--------------------------------------------4000 WINS 在处理命令时遇到错误。

4001 本地的 WINS 不能删除。

4002 文件导入操作失败。

4003 备份操作失败。

是否先前已作过完整备份?4004 备份操作失败。

请检查您备份数据库的目录。

4005 WINS 数据库中没有这个名称。

4006 不允许复制一个尚未配置的伙伴。

4100 DHCP 客户端获得一个在网络上已被使用的 IP 地址。

直到 DHCP 客户端可以获得新的地址前，本地接口将被禁用。

4200 无法识别传来的 GUID 是否为有效的 WMI 数据提供程序。

4201 无法识别传来的范例名是否为有效的 WMI 数据提供程序。

4202 无法识别传来的数据项目标识符是否为有效的 WMI 数据提供程序。

4203 无法完成 WMI 请求，应该重试一次。

4204 找不到 WMI 数据提供程序。

4205 WMI 数据提供程序引用到一个未注册的范例组。

4206 WMI 数据块或事件通知已启用。

4207 WMI 数据块不再可用。

4208 WMI 数据服务无法使用。

4209 WMI 数据提供程序无法完成要求。

4210 WMI MOF 信息无效。

4211 WMI 注册信息无效。

4212 WMI 数据块或事件通知已禁用。

4213 WMI 数据项目或数据块为只读。

4214 不能更改 WMI 数据项目或数据块。

4300 媒体标识符没有表示一个有效的媒体。

4301 库标识符没有表示一个有效的库。

4302 媒体缓冲池标识符没有表示一个有效的媒体缓冲池。

4303 驱动器和媒体不兼容或位于不同的库中。

4304 媒体目前在脱机库中，您必须联机才能运行这个操作。

4305 操作无法在脱机库中运行。

4306 库、驱动器或媒体缓冲池是空的。

windows服务器事件ID对照表关于windows service 2003 与 2008 事件ID对照表下表列出了应在环境中监视的事件，具体取决于“监控Active Directory中的妥协迹象”中提供的建议。

在下表中，“当前Windows事件ID”列列出了在当前主流⽀持的Windows和Windows Server版本中实现的事件ID，以下表格以“2008”代称。

“旧版Windows事件ID”列列出了旧版Windows中的相应事件ID，例如运⾏Windows XP或更早版本的客户端计算机以及运⾏Windows Server 2003或更早版本的服务器，以下表格以“2003”代称。

“潜在关键性”列标识在检测攻击时是否应将该事件视为低，中或⾼关键性。

以下表格以“级别”代称，“事件摘要”列提供事件的简要说明以下表格以“概述”代称。

⾼可能的临界值意味着应该调查⼀次事件。

中等或低的潜在临界值意味着只有在出现意外情况或在测量的时间段内显着超过预期基线的数量时才应调查这些事件。

在创建需要强制性调查响应的警报之前，所有组织都应在其环境中测试这些建议。

每个环境都是不同的，并且由于其他⽆害事件，可能会发⽣⼀些潜在危险度⾼的事件。

20082003级别概述4618N / A⾼已发⽣受监视的安全事件模式。

4649N / A⾼检测到重播攻击。

由于错误配置错误，可能是⽆害的误报。

4719612⾼系统审核策略已更改。

4765N / A⾼SID历史记录已添加到帐户中。

4766N / A⾼尝试将SID历史记录添加到帐户失败。

4794N / A⾼尝试设置⽬录服务还原模式。

4897801⾼启⽤⾓⾊分离：4964N / A⾼特殊组已分配给新登录。

5124N / A⾼在OCSP Responder Service上更新了安全设置N / A550中到⾼可能的拒绝服务（DoS）攻击1102517中到⾼审核⽇志已清除4621N / A介质管理员从CrashOnAuditFail恢复了系统。

windows事件id及解释大全Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”；或者右键我的电脑-管理-系统工具-事件查看器。

在事件查看器中右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。

日志路径：C:\Windows\System32\winevt\Logs查看日志：Security.evtx、System.evtx、Application.evtx常用安全事件ID:系统：1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。

6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。

104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。

安全：4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。

4625，这个事件ID表示登陆失败的用户。

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。

4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

————————————————EVENT_ID安全事件信息1100-----事件记录服务已关闭1101-----审计事件已被运输中断。

1102-----审核日志已清除1104-----安全日志现已满1105-----事件日志自动备份1108-----事件日志记录服务遇到错误4608-----Windows正在启动4609-----Windows正在关闭4610-----本地安全机构已加载身份验证包4611-----已向本地安全机构注册了受信任的登录进程4612-----为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。

4614-----安全帐户管理器已加载通知包。

0 操作成功完成。

1 函数不正确。

2 系统找不到指定的文件。

3 系统找不到指定的路径。

4 系统无法打开文件。

5 拒绝访问。

6 句柄无效。

7 存储控制块被损坏。

8 存储空间不足，无法处理此命令。

9 存储控制块地址无效。

10 环境不正确。

11 试图加载格式不正确的程序。

12 访问码无效。

13 数据无效。

14 存储空间不足，无法完成此操作。

15 系统找不到指定的驱动器。

16 无法删除目录。

17 系统无法将文件移到不同的驱动器。

18 没有更多文件。

19 介质受写入保护。

20 系统找不到指定的设备。

21 设备未就绪。

22 设备不识别此命令。

23 数据错误(循环冗余检查)。

24 程序发出命令，但命令长度不正确。

25 驱动器找不到磁盘上特定区域或磁道。

26 无法访问指定的磁盘或软盘。

27 驱动器找不到请求的扇区。

28 打印机缺纸。

29 系统无法写入指定的设备。

30 系统无法从指定的设备上读取。

31 连到系统上的设备没有发挥作用。

32 另一个程序正在使用此文件，进程无法访问。

33 另一个程序已锁定文件的一部分，进程无法访问。

36 用来共享的打开文件过多。

38 已到文件结尾。

39 磁盘已满。

50 不支持请求。

51 Windows 无法找到网络路径。

请确认网络路径正确并且目标计算机不忙或已关闭。

如果 Windows 仍然无法找到网络路径，请与网络管理员联系。

52 由于网络上有重名，没有连接。

请到“控制面板”中的“系统”更改计算机名，然后重试。

53 找不到网络路径。

54 网络很忙。

55 指定的网络资源或设备不再可用。

56 已达到网络 BIOS 命令限制。

57 网络适配器硬件出错。

58 指定的服务器无法运行请求的操作。

59 出现了意外的网络错误。

60 远程适配器不兼容。

61 打印机队列已满。

62 服务器上没有储存等待打印的文件的空间。

63 已删除等候打印的文件。

64 指定的网络名不再可用。

65 拒绝网络访问。

66 网络资源类型不对。

0 操作成功完成。

1 函数不正确。

2 系统找不到指定的文件。

3 系统找不到指定的路径。

4 系统无法打开文件。

5 拒绝访问。

6 句柄无效。

7 存储控制块被损坏。

8 存储空间不足，无法处理此命令。

9 存储控制块地址无效。

10 环境不正确。

11 试图加载格式不正确的程序。

12 访问码无效。

13 数据无效。

14 存储空间不足，无法完成此操作。

15 系统找不到指定的驱动器。

16 无法删除目录。

17 系统无法将文件移到不同的驱动器。

18 没有更多文件。

19 介质受写入保护。

20 系统找不到指定的设备。

21 设备未就绪。

22 设备不识别此命令。

23 数据错误(循环冗余检查)。

24 程序发出命令，但命令长度不正确。

25 驱动器找不到磁盘上特定区域或磁道。

26 无法访问指定的磁盘或软盘。

27 驱动器找不到请求的扇区。

28 打印机缺纸。

29 系统无法写入指定的设备。

30 系统无法从指定的设备上读取。

31 连到系统上的设备没有发挥作用。

32 另一个程序正在使用此文件，进程无法访问。

33 另一个程序已锁定文件的一部分，进程无法访问。

36 用来共享的打开文件过多。

38 已到文件结尾。

39 磁盘已满。

50 不支持请求。

51 Windows 无法找到网络路径。

请确认网络路径正确并且目标计算机不忙或已关闭。

如果 Windows 仍然无法找到网络路径，请与网络管理员联系。

52 由于网络上有重名，没有连接。

请到“控制面板”中的“系统”更改计算机名，然后重试。

53 找不到网络路径。

54 网络很忙。

55 指定的网络资源或设备不再可用。

56 已达到网络 BIOS 命令限制。

57 网络适配器硬件出错。

58 指定的服务器无法运行请求的操作。

59 出现了意外的网络错误。

60 远程适配器不兼容。

61 打印机队列已满。

62 服务器上没有储存等待打印的文件的空间。

63 已删除等候打印的文件。

64 指定的网络名不再可用。

65 拒绝网络访问。

66 网络资源类型不对。

0 操作成功完成。

1 函数不正确。

2 系统找不到指定的文件。

3 系统找不到指定的路径。

4 系统无法打开文件。

5 拒绝访问。

6 句柄无效。

7 存储控制块被损坏。

8 存储空间不足，无法处理此命令。

9 存储控制块地址无效。

10 环境不正确。

11 试图加载格式不正确的程序。

12 访问码无效。

13 数据无效。

14 存储空间不足，无法完成此操作。

15 系统找不到指定的驱动器。

16 无法删除目录。

17 系统无法将文件移到不同的驱动器。

18 没有更多文件。

19 介质受写入保护。

20 系统找不到指定的设备。

21 设备未就绪。

22 设备不识别此命令。

23 数据错误(循环冗余检查)。

24 程序发出命令，但命令长度不正确。

25 驱动器找不到磁盘上特定区域或磁道。

26 无法访问指定的磁盘或软盘。

27 驱动器找不到请求的扇区。

28 打印机缺纸。

29 系统无法写入指定的设备。

30 系统无法从指定的设备上读取。

31 连到系统上的设备没有发挥作用。

32 另一个程序正在使用此文件，进程无法访问。

33 另一个程序已锁定文件的一部分，进程无法访问。

36 用来共享的打开文件过多。

38 已到文件结尾。

39 磁盘已满。

50 不支持请求。

51 Windows 无法找到网络路径。

请确认网络路径正确并且目标计算机不忙或已关闭。

如果 Windows 仍然无法找到网络路径，请与网络管理员联系。

52 由于网络上有重名，没有连接。

请到“控制面板”中的“系统”更改计算机名，然后重试。

53 找不到网络路径。

54 网络很忙。

55 指定的网络资源或设备不再可用。

56 已达到网络 BIOS 命令限制。

57 网络适配器硬件出错。

58 指定的服务器无法运行请求的操作。

59 出现了意外的网络错误。

60 远程适配器不兼容。

61 打印机队列已满。

62 服务器上没有储存等待打印的文件的空间。

63 已删除等候打印的文件。

64 指定的网络名不再可用。

65 拒绝网络访问。

66 网络资源类型不对。

Windows事件ID⼤全ID类型来源代表的意义举例解释2信息Serial在验证 \Device\Serial1 是否确实是串⾏⼝时，系统检测到先进先出⽅式(fifo)。

将使⽤该⽅式。

17错误W32Time时间提供程序 NtpClient: 在 DNS 查询⼿动配置的对等机器 ',0x1' 时发⽣⼀个错误。

NtpClient 将在 15 分钟内重试 NDS 查询。

错误为: 套接字操作尝试⼀个⽆法连接的主机。

(0x80072751)20警告Print已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。

⽂件:- CNMDR6e.DLL,CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL,CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE,CNMSH6e.HLP, CNMSH6e26信息ApplicationPopup弹出应⽤程序: Rsaupd.exe - ⽆法找到组件: 没有找到 MFC71.DLL，因此这个应⽤程序未能启动。

重新安装应⽤程序可能会修复此问题。

29错误W32Time时间服务提供程序 NtpClient 配置为从⼀个或多个时间源获得时间，但是，没有⼀个源可以访问。

在 14 分钟内不会进⾏联系时间源的尝试。

NtpClient 没有准确时间的时间源。

35信息W32Time时间服务现在⽤时间源 (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步系统时间。

115信息SRService系统还原监视在所有驱动器上启⽤。

116信息SRService系统还原监视在所有驱动器上禁⽤。

Windo‎w s 事件‎I D及解释‎大全(XP‎、2000‎、2003‎)(0-2‎000) ‎代码‎错误信息解‎释---‎-----‎-----‎-----‎-----‎-----‎-----‎-----‎-----‎-0 操‎作成功完成‎。

1 函‎数不正确。

‎2 系统‎找不到指定‎的文件。

‎3系统找‎不到指定的‎路径。

4‎系统无法‎打开文件。

‎5 拒绝‎访问。

6‎句柄无效‎。

7 存‎储控制块被‎损坏。

8‎存储空间‎不足，无法‎处理此命令‎。

9 存‎储控制块地‎址无效。

‎10 环境‎不正确。

‎11 试图‎加载格式不‎正确的程序‎。

12 ‎访问码无效‎。

13 ‎数据无效。

‎14 存‎储空间不足‎，无法完成‎此操作。

‎15 系统‎找不到指定‎的驱动器。

‎16 无‎法删除目录‎。

17 ‎系统无法将‎文件移到不‎同的驱动器‎。

18 ‎没有更多文‎件。

19‎介质受写‎入保护。

‎20 系统‎找不到指定‎的设备。

‎21 设备‎未就绪。

‎22 设备‎不识别此命‎令。

23‎数据错误‎(循环冗余‎检查)。

‎24 程序‎发出命令，‎但命令长度‎不正确。

‎25 驱动‎器找不到磁‎盘上特定区‎域或磁道。

‎26 无‎法访问指定‎的磁盘或软‎盘。

27‎驱动器找‎不到请求的‎扇区。

2‎8打印机‎缺纸。

2‎9系统无‎法写入指定‎的设备。

‎30 系统‎无法从指定‎的设备上读‎取。

31‎连到系统‎上的设备没‎有发挥作用‎。

32 ‎另一个程序‎正在使用此‎文件，进程‎无法访问。

‎33 另‎一个程序已‎锁定文件的‎一部分，进‎程无法访问‎。

36 ‎用来共享的‎打开文件过‎多。

38‎已到文件‎结尾。

3‎9磁盘已‎满。

50‎不支持请‎求。

51‎Wind‎o ws 无‎法找到网络‎路径。

请确‎认网络路径‎正确并且目‎标计算机不‎忙或已关闭‎。

如果 W‎i ndow‎s仍然无‎法找到网络‎路径，请与‎网络管理员‎联系。

5‎2由于网‎络上有重名‎，没有连接‎。

Windo‎w s 事件‎I D及解释‎大全(XP‎、2000‎、2003‎)(200‎0-400‎0)‎代码错误‎信息解释‎-----‎-----‎-----‎-----‎-----‎-----‎-----‎-----‎----‎20‎00 无效‎的像素格式‎。

200‎1指定的‎驱动程序无‎效。

20‎02 窗口‎样式或类别‎属性对此操‎作无效。

‎2003 ‎不支持请求‎的图元操作‎。

200‎4不支持‎请求的变换‎操作。

2‎005 不‎支持请求的‎剪切操作。

‎2010‎指定的颜‎色管理模块‎无效。

2‎011 制‎定的颜色文‎件配置无效‎。

201‎2找不到‎指定的标识‎。

201‎3找不到‎所需的标识‎。

201‎4指定的‎标识已经存‎在。

20‎15 指定‎的颜色文件‎配置与任何‎设备都不相‎关。

20‎16 找不‎到该指定的‎颜色文件配‎置201‎7指定的‎颜色空间无‎效。

20‎18 图像‎颜色管理没‎有启动。

‎2019 ‎在删除该颜‎色传输时有‎一个错误。

‎2020‎该指定的‎颜色传输无‎效。

20‎21 该指‎定的变换与‎位图的颜色‎空间不匹配‎。

202‎2该指定‎的命名颜色‎索引在配置‎文件中不存‎在。

21‎02 没有‎安装工作站‎驱动程序。

‎2103‎无法定位‎服务器。

‎2104 ‎发生内部错‎误，网络无‎法访问共享‎内存段。

‎2105 ‎网络资源不‎足。

21‎06 工作‎站不支持该‎操作。

2‎107 设‎备没有连接‎。

210‎8网络连‎接已成功，‎但需要提示‎用户输入一‎个不同于原‎始指定的密‎码。

21‎09 使用‎默认凭据成‎功连接网络‎。

211‎4没有启‎动服务器服‎务。

21‎15 队列‎空。

21‎16 设备‎或目录不存‎在。

21‎17 无法‎在重定向的‎资源上执行‎此操作。

‎2118 ‎名称已经共‎享。

21‎19 服务‎器目前无法‎提供所需的‎资源。

2‎121 额‎外请求的项‎目超过允许‎的上限。

如何看懂系统审核日志根据下面的ID，可以帮助我们快速识别由Microsoft? Windows Server 2003 操作系统生成的安全事件，究竟意味着什么事件出现了。

一、帐户登录事件下面显示了由―审核帐户登录事件‖安全模板设置所生成的安全事件。

672：已成功颁发和验证身份验证服务(AS) 票证。

673：授权票证服务(TGS) 票证已授权。

TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证，允许用户对域中的特定服务进行身份验证。

674：安全主体已更新AS 票证或TGS 票证。

675：预身份验证失败。

用户键入错误的密码时，密钥发行中心(KDC) 生成此事件。

676：身份验证票证请求失败。

在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。

677：TGS 票证未被授权。

在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。

678：帐户已成功映射到域帐户。

681：登录失败。

尝试进行域帐户登录。

在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。

682：用户已重新连接至已断开的终端服务器会话。

683：用户未注销就断开终端服务器会话。

二、帐户管理事件下面显示了由―审核帐户管理‖安全模板设置所生成的安全事件。

624：用户帐户已创建。

627：用户密码已更改。

628：用户密码已设置。

630：用户帐户已删除。

631：全局组已创建。

632：成员已添加至全局组。

633：成员已从全局组删除。

634：全局组已删除。

635：已新建本地组。

636：成员已添加至本地组。

637：成员已从本地组删除。

638：本地组已删除。

639：本地组帐户已更改。

641：全局组帐户已更改。

642：用户帐户已更改。

643：域策略已修改。

644：用户帐户被自动锁定。

12294错误事件的处理--利用审核日志查找病毒来源
12294 帐号锁死企图这一事件说明可能有针对默认管理员帐号的强力袭击发生。

由于这个帐号不能锁死，所以系统事件日志记录为SAM事件12294。

此事件说明可能出现了未授权的操作系统，需要马上调查。

可以核对未知域的域名字段。

最近公司的一台域服务器（windows server 2003域控制器）系统日志大量出现事件ID号为12294，来源为SAM的错误日志，错误信息描述如下：
-------------------------------------------
由于资源错误，如硬磁盘写失败(该指定的错误代码在错误数据中)，SAM 数据库无法锁定 Administrator 的帐户。

密码输入次数达到一定值时，帐户及会被锁定，请考虑重设上述帐户的密码。

--------------------------------------------
通过活动目录的账号登录机制：账号登录都必需到PDC去验证身份，必定会产生大量登录失败的记录。

因此，我们可以监控账号的登录事件来查找病毒源。

打开域控制器--“系统管理工具”--“域安全策略”--“本地策略”--“审核策略”，如下图：
由于审核失败的事件对于管理员排错比较有帮助，为了减少日志数据量，我们只设置只审核失败的登入事件。

如下图：
这样，我们再打开域控制器（PDC）的事件查看器，点击“安全性”，就可以看到大量的错误登录的审核失败事件，打开事件描述，我们就可以知道哪台电脑有问题了，如下图：
可能会有多台机器感染w32.Randex.f病毒，需要不断的查看审核日志，跟进处理。