├── LogAnalysisAssistant.bat
├── LogParser.exe
├── README.md
└── Windows日志ID汇总.txt


/LogAnalysisAssistant.bat:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/TiggerT/LogAnalysisAssistant/1b82381bf70dc0bc0ae69f6cae1bbcbb05c1fdeb/LogAnalysisAssistant.bat


--------------------------------------------------------------------------------
/LogParser.exe:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/TiggerT/LogAnalysisAssistant/1b82381bf70dc0bc0ae69f6cae1bbcbb05c1fdeb/LogParser.exe


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
1 | # 脚本介绍
2 | 使用命令行+LogParser的模式查看Winodows日志比较蛋疼，该助手可以快速筛选、辅助进行Windows日志排查、取证。
3 | # 版权声明和使用许可
4 | ## 使用许可
5 | 本项目及其内容，未经本人@TiggerT明确书面许可，任何个人或组织不得将本项目的任何部分（包括代码、文档、设计等）用于商业用途，也不得在未经授权的情况下在互联网、公众号或任何其他媒体上发布、分发或复制本项目及其内容。
6 | ## 免责声明
7 | 本项目提供的代码和文档仅供学习和研究使用，本人不对任何因使用本项目内容而产生的直接或间接损失负责。
8 | ![image](https://github.com/TiggerT/LogAnalysisAssistant/assets/84847715/d997c792-788f-4b2b-b47b-1756ed1a9bb4)
9 | 


--------------------------------------------------------------------------------
/Windows日志ID汇总.txt:
--------------------------------------------------------------------------------
  1 | EVENT_ID ----- 安全事件信息
  2 | 1100 ----- 事件记录服务已关闭
  3 | 1101 ----- 审计事件已被运输中断。
  4 | 1102 ----- 审核日志已清除
  5 | 1104 ----- 安全日志现已满
  6 | 1105 ----- 事件日志自动备份
  7 | 1108 ----- 事件日志记录服务遇到错误
  8 | 4608 ----- Windows正在启动
  9 | 4609 ----- Windows正在关闭
 10 | 4610 ----- 本地安全机构已加载身份验证包
 11 | 4611 ----- 已向本地安全机构注册了受信任的登录进程
 12 | 4612 ----- 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。
 13 | 4614 ----- 安全帐户管理器已加载通知包。
 14 | 4615 ----- LPC端口使用无效
 15 | 4616 ----- 系统时间已更改。
 16 | 4618 ----- 已发生受监视的安全事件模式
 17 | 4621 ----- 管理员从CrashOnAuditFail恢复了系统
 18 | 4622 ----- 本地安全机构已加载安全包。
 19 | 4624 ----- 帐户已成功登录
 20 | 4625 ----- 帐户无法登录
 21 | 4626 ----- 用户/设备声明信息
 22 | 4627 ----- 集团会员信息。
 23 | 4634 ----- 帐户已注销
 24 | 4646 ----- IKE DoS防护模式已启动
 25 | 4647 ----- 用户启动了注销
 26 | 4648 ----- 使用显式凭据尝试登录
 27 | 4649 ----- 检测到重播攻击
 28 | 4650 ----- 建立了IPsec主模式安全关联
 29 | 4651 ----- 建立了IPsec主模式安全关联
 30 | 4652 ----- IPsec主模式协商失败
 31 | 4653 ----- IPsec主模式协商失败
 32 | 4654 ----- IPsec快速模式协商失败
 33 | 4655 ----- IPsec主模式安全关联已结束
 34 | 4656 ----- 请求了对象的句柄
 35 | 4657 ----- 注册表值已修改
 36 | 4658 ----- 对象的句柄已关闭
 37 | 4659 ----- 请求删除对象的句柄
 38 | 4660 ----- 对象已删除
 39 | 4661 ----- 请求了对象的句柄
 40 | 4662 ----- 对对象执行了操作
 41 | 4663 ----- 尝试访问对象
 42 | 4664 ----- 试图创建一个硬链接
 43 | 4665 ----- 尝试创建应用程序客户端上下文。
 44 | 4666 ----- 应用程序尝试了一个操作
 45 | 4667 ----- 应用程序客户端上下文已删除
 46 | 4668 ----- 应用程序已初始化
 47 | 4670 ----- 对象的权限已更改
 48 | 4671 ----- 应用程序试图通过TBS访问被阻止的序号
 49 | 4672 ----- 分配给新登录的特权
 50 | 4673 ----- 特权服务被召唤
 51 | 4674 ----- 尝试对特权对象执行操作
 52 | 4675 ----- SID被过滤掉了
 53 | 4688 ----- 已经创建了一个新流程
 54 | 4689 ----- 一个过程已经退出
 55 | 4690 ----- 尝试复制对象的句柄
 56 | 4691 ----- 请求间接访问对象
 57 | 4692 ----- 尝试备份数据保护主密钥
 58 | 4693 ----- 尝试恢复数据保护主密钥
 59 | 4694 ----- 试图保护可审计的受保护数据
 60 | 4695 ----- 尝试不受保护的可审计受保护数据
 61 | 4696 ----- 主要令牌已分配给进程
 62 | 4697 ----- 系统中安装了一项服务
 63 | 4698 ----- 已创建计划任务
 64 | 4699 ----- 计划任务已删除
 65 | 4700 ----- 已启用计划任务
 66 | 4701 ----- 计划任务已禁用
 67 | 4702 ----- 计划任务已更新
 68 | 4703 ----- 令牌权已经调整
 69 | 4704 ----- 已分配用户权限
 70 | 4705 ----- 用户权限已被删除
 71 | 4706 ----- 为域创建了新的信任
 72 | 4707 ----- 已删除对域的信任
 73 | 4709 ----- IPsec服务已启动
 74 | 4710 ----- IPsec服务已禁用
 75 | 4711 ----- PAStore引擎（1％）
 76 | 4712 ----- IPsec服务遇到了潜在的严重故障
 77 | 4713 ----- Kerberos策略已更改
 78 | 4714 ----- 加密数据恢复策略已更改
 79 | 4715 ----- 对象的审核策略（SACL）已更改
 80 | 4716 ----- 可信域信息已被修改
 81 | 4717 ----- 系统安全访问权限已授予帐户
 82 | 4718 ----- 系统安全访问已从帐户中删除
 83 | 4719 ----- 系统审核策略已更改
 84 | 4720 ----- 已创建用户帐户
 85 | 4722 ----- 用户帐户已启用
 86 | 4723 ----- 尝试更改帐户的密码
 87 | 4724 ----- 尝试重置帐户密码
 88 | 4725 ----- 用户帐户已被禁用
 89 | 4726 ----- 用户帐户已删除
 90 | 4727 ----- 已创建启用安全性的全局组
 91 | 4728 ----- 已将成员添加到启用安全性的全局组中
 92 | 4729 ----- 成员已从启用安全性的全局组中删除
 93 | 4730 ----- 已删除启用安全性的全局组
 94 | 4731 ----- 已创建启用安全性的本地组
 95 | 4732 ----- 已将成员添加到启用安全性的本地组
 96 | 4733 ----- 成员已从启用安全性的本地组中删除
 97 | 4734 ----- 已删除已启用安全性的本地组
 98 | 4735 ----- 已启用安全性的本地组已更改
 99 | 4737 ----- 启用安全性的全局组已更改
100 | 4738 ----- 用户帐户已更改
101 | 4739 ----- 域策略已更改
102 | 4740 ----- 用户帐户已被锁定
103 | 4741 ----- 已创建计算机帐户
104 | 4742 ----- 计算机帐户已更改
105 | 4743 ----- 计算机帐户已删除
106 | 4744 ----- 已创建禁用安全性的本地组
107 | 4745 ----- 已禁用安全性的本地组已更改
108 | 4746 ----- 已将成员添加到已禁用安全性的本地组
109 | 4747 ----- 已从安全性已禁用的本地组中删除成员
110 | 4748 ----- 已删除安全性已禁用的本地组
111 | 4749 ----- 已创建一个禁用安全性的全局组
112 | 4750 ----- 已禁用安全性的全局组已更改
113 | 4751 ----- 已将成员添加到已禁用安全性的全局组中
114 | 4752 ----- 成员已从禁用安全性的全局组中删除
115 | 4753 ----- 已删除安全性已禁用的全局组
116 | 4754 ----- 已创建启用安全性的通用组
117 | 4755 ----- 启用安全性的通用组已更改
118 | 4756 ----- 已将成员添加到启用安全性的通用组中
119 | 4757 ----- 成员已从启用安全性的通用组中删除
120 | 4758 ----- 已删除启用安全性的通用组
121 | 4759 ----- 创建了一个安全禁用的通用组
122 | 4760 ----- 安全性已禁用的通用组已更改
123 | 4761 ----- 已将成员添加到已禁用安全性的通用组中
124 | 4762 ----- 成员已从禁用安全性的通用组中删除
125 | 4763 ----- 已删除安全性已禁用的通用组
126 | 4764 ----- 组类型已更改
127 | 4765 ----- SID历史记录已添加到帐户中
128 | 4766 ----- 尝试将SID历史记录添加到帐户失败
129 | 4767 ----- 用户帐户已解锁
130 | 4768 ----- 请求了Kerberos身份验证票证（TGT）
131 | 4769 ----- 请求了Kerberos服务票证
132 | 4770 ----- 更新了Kerberos服务票证
133 | 4771 ----- Kerberos预身份验证失败
134 | 4772 ----- Kerberos身份验证票证请求失败
135 | 4773 ----- Kerberos服务票证请求失败
136 | 4774 ----- 已映射帐户以进行登录
137 | 4775 ----- 无法映射帐户以进行登录
138 | 4776 ----- 域控制器尝试验证帐户的凭据
139 | 4777 ----- 域控制器无法验证帐户的凭据
140 | 4778 ----- 会话重新连接到Window Station
141 | 4779 ----- 会话已与Window Station断开连接
142 | 4780 ----- ACL是在作为管理员组成员的帐户上设置的
143 | 4781 ----- 帐户名称已更改
144 | 4782 ----- 密码哈希帐户被访问
145 | 4783 ----- 创建了一个基本应用程序组
146 | 4784 ----- 基本应用程序组已更改
147 | 4785 ----- 成员已添加到基本应用程序组
148 | 4786 ----- 成员已从基本应用程序组中删除
149 | 4787 ----- 非成员已添加到基本应用程序组
150 | 4788 ----- 从基本应用程序组中删除了非成员。
151 | 4789 ----- 基本应用程序组已删除
152 | 4790 ----- 已创建LDAP查询组
153 | 4791 ----- 基本应用程序组已更改
154 | 4792 ----- LDAP查询组已删除
155 | 4793 ----- 密码策略检查API已被调用
156 | 4794 ----- 尝试设置目录服务还原模式管理员密码
157 | 4797 ----- 试图查询帐户是否存在空白密码
158 | 4798 ----- 枚举了用户的本地组成员身份。
159 | 4799 ----- 已枚举启用安全性的本地组成员身份
160 | 4800 ----- 工作站已锁定
161 | 4801 ----- 工作站已解锁
162 | 4802 ----- 屏幕保护程序被调用
163 | 4803 ----- 屏幕保护程序被解雇了
164 | 4816 ----- RPC在解密传入消息时检测到完整性违规
165 | 4817 ----- 对象的审核设置已更改。
166 | 4818 ----- 建议的中央访问策略不授予与当前中央访问策略相同的访问权限
167 | 4819 ----- 计算机上的中央访问策略已更改
168 | 4820 ----- Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制
169 | 4821 ----- Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制
170 | 4822 ----- NTLM身份验证失败，因为该帐户是受保护用户组的成员
171 | 4823 ----- NTLM身份验证失败，因为需要访问控制限制
172 | 4824 ----- 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员
173 | 4825 ----- 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote
174 | Desktop Users组或Administrators组的成员时才允许用户进行连接
175 | 4826 ----- 加载引导配置数据
176 | 4830 ----- SID历史记录已从帐户中删除
177 | 4864 ----- 检测到名称空间冲突
178 | 4865 ----- 添加了受信任的林信息条目
179 | 4866 ----- 已删除受信任的林信息条目
180 | 4867 ----- 已修改受信任的林信息条目
181 | 4868 ----- 证书管理器拒绝了挂起的证书请求
182 | 4869 ----- 证书服务收到重新提交的证书请求
183 | 4870 ----- 证书服务撤销了证书
184 | 4871 ----- 证书服务收到发布证书吊销列表（CRL）的请求
185 | 4872 ----- 证书服务发布证书吊销列表（CRL）
186 | 4873 ----- 证书申请延期已更改
187 | 4874 ----- 一个或多个证书请求属性已更改。
188 | 4875 ----- 证书服务收到关闭请求
189 | 4876 ----- 证书服务备份已启动
190 | 4877 ----- 证书服务备份已完成
191 | 4878 ----- 证书服务还原已开始
192 | 4879 ----- 证书服务恢复已完成
193 | 4880 ----- 证书服务已启动
194 | 4881 ----- 证书服务已停止
195 | 4882 ----- 证书服务的安全权限已更改
196 | 4883 ----- 证书服务检索到存档密钥
197 | 4884 ----- 证书服务将证书导入其数据库
198 | 4885 ----- 证书服务的审核筛选器已更改
199 | 4886 ----- 证书服务收到证书请求
200 | 4887 ----- 证书服务批准了证书请求并颁发了证书
201 | 4888 ----- 证书服务拒绝了证书请求
202 | 4889 ----- 证书服务将证书请求的状态设置为挂起
203 | 4890 ----- 证书服务的证书管理器设置已更改。
204 | 4891 ----- 证书服务中的配置条目已更改
205 | 4892 ----- 证书服务的属性已更改
206 | 4893 ----- 证书服务存档密钥
207 | 4894 ----- 证书服务导入并存档了一个密钥
208 | 4895 ----- 证书服务将CA证书发布到Active Directory域服务
209 | 4896 ----- 已从证书数据库中删除一行或多行
210 | 4897 ----- 启用角色分离
211 | 4898 ----- 证书服务加载了一个模板
212 | 4899 ----- 证书服务模板已更新
213 | 4900 ----- 证书服务模板安全性已更新
214 | 4902 ----- 已创建每用户审核策略表
215 | 4904 ----- 尝试注册安全事件源
216 | 4905 ----- 尝试取消注册安全事件源
217 | 4906 ----- CrashOnAuditFail值已更改
218 | 4907 ----- 对象的审核设置已更改
219 | 4908 ----- 特殊组登录表已修改
220 | 4909 ----- TBS的本地策略设置已更改
221 | 4910 ----- TBS的组策略设置已更改
222 | 4911 ----- 对象的资源属性已更改
223 | 4912 ----- 每用户审核策略已更改
224 | 4913 ----- 对象的中央访问策略已更改
225 | 4928 ----- 建立了Active Directory副本源命名上下文
226 | 4929 ----- 已删除Active Directory副本源命名上下文
227 | 4930 ----- 已修改Active Directory副本源命名上下文
228 | 4931 ----- 已修改Active Directory副本目标命名上下文
229 | 4932 ----- 已开始同步Active Directory命名上下文的副本
230 | 4933 ----- Active Directory命名上下文的副本的同步已结束
231 | 4934 ----- 已复制Active Directory对象的属性
232 | 4935 ----- 复制失败开始
233 | 4936 ----- 复制失败结束
234 | 4937 ----- 从副本中删除了一个延迟对象
235 | 4944 ----- Windows防火墙启动时，以下策略处于活动状态
236 | 4945 ----- Windows防火墙启动时列出了规则
237 | 4946 ----- 已对Windows防火墙例外列表进行了更改。增加了一条规则
238 | 4947 ----- 已对Windows防火墙例外列表进行了更改。规则被修改了
239 | 4948 ----- 已对Windows防火墙例外列表进行了更改。规则已删除
240 | 4949 ----- Windows防火墙设置已恢复为默认值
241 | 4950 ----- Windows防火墙设置已更改
242 | 4951 ----- 规则已被忽略，因为Windows防火墙无法识别其主要版本号
243 | 4952 ----- 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号
244 | 4953 ----- Windows防火墙已忽略规则，因为它无法解析规则
245 | 4954 ----- Windows防火墙组策略设置已更改。已应用新设置
246 | 4956 ----- Windows防火墙已更改活动配置文件
247 | 4957 ----- Windows防火墙未应用以下规则
248 | 4958 ----- Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目
249 | 4960 ----- IPsec丢弃了未通过完整性检查的入站数据包
250 | 4961 ----- IPsec丢弃了重放检查失败的入站数据包
251 | 4962 ----- IPsec丢弃了重放检查失败的入站数据包
252 | 4963 ----- IPsec丢弃了应该受到保护的入站明文数据包
253 | 4964 ----- 特殊组已分配给新登录
254 | 4965 ----- IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。
255 | 4976 ----- 在主模式协商期间，IPsec收到无效的协商数据包。
256 | 4977 ----- 在快速模式协商期间，IPsec收到无效的协商数据包。
257 | 4978 ----- 在扩展模式协商期间，IPsec收到无效的协商数据包。
258 | 4979 ----- 建立了IPsec主模式和扩展模式安全关联。
259 | 4980 ----- 建立了IPsec主模式和扩展模式安全关联
260 | 4981 ----- 建立了IPsec主模式和扩展模式安全关联
261 | 4982 ----- 建立了IPsec主模式和扩展模式安全关联
262 | 4983 ----- IPsec扩展模式协商失败
263 | 4984 ----- IPsec扩展模式协商失败
264 | 4985 ----- 交易状态已发生变化
265 | 5024 ----- Windows防火墙服务已成功启动
266 | 5025 ----- Windows防火墙服务已停止
267 | 5027 ----- Windows防火墙服务无法从本地存储中检索安全策略
268 | 5028 ----- Windows防火墙服务无法解析新的安全策略。
269 | 5029 ----- Windows防火墙服务无法初始化驱动程序
270 | 5030 ----- Windows防火墙服务无法启动
271 | 5031 ----- Windows防火墙服务阻止应用程序接受网络上的传入连接。
272 | 5032 ----- Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
273 | 5033 ----- Windows防火墙驱动程序已成功启动
274 | 5034 ----- Windows防火墙驱动程序已停止
275 | 5035 ----- Windows防火墙驱动程序无法启动
276 | 5037 ----- Windows防火墙驱动程序检测到严重的运行时错 终止
277 | 5038 ----- 代码完整性确定文件的图像哈希无效
278 | 5039 ----- 注册表项已虚拟化。
279 | 5040 ----- 已对IPsec设置进行了更改。添加了身份验证集。
280 | 5041 ----- 已对IPsec设置进行了更改。身份验证集已修改
281 | 5042 ----- 已对IPsec设置进行了更改。身份验证集已删除
282 | 5043 ----- 已对IPsec设置进行了更改。添加了连接安全规则
283 | 5044 ----- 已对IPsec设置进行了更改。连接安全规则已修改
284 | 5045 ----- 已对IPsec设置进行了更改。连接安全规则已删除
285 | 5046 ----- 已对IPsec设置进行了更改。添加了加密集
286 | 5047 ----- 已对IPsec设置进行了更改。加密集已被修改
287 | 5048 ----- 已对IPsec设置进行了更改。加密集已删除
288 | 5049 ----- IPsec安全关联已删除
289 | 5050 ----- 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE
290 | 5051 ----- 文件已虚拟化
291 | 5056 ----- 进行了密码自检
292 | 5057 ----- 加密原语操作失败
293 | 5058 ----- 密钥文件操作
294 | 5059 ----- 密钥迁移操作
295 | 5060 ----- 验证操作失败
296 | 5061 ----- 加密操作
297 | 5062 ----- 进行了内核模式加密自检
298 | 5063 ----- 尝试了加密提供程序操作
299 | 5064 ----- 尝试了加密上下文操作
300 | 5065 ----- 尝试了加密上下文修改
301 | 5066 ----- 尝试了加密功能操作
302 | 5067 ----- 尝试了加密功能修改
303 | 5068 ----- 尝试了加密函数提供程序操作
304 | 5069 ----- 尝试了加密函数属性操作
305 | 5070 ----- 尝试了加密函数属性操作
306 | 5071 ----- Microsoft密钥分发服务拒绝密钥访问
307 | 5120 ----- OCSP响应程序服务已启动
308 | 5121 ----- OCSP响应程序服务已停止
309 | 5122 ----- OCSP响应程序服务中的配置条目已更改
310 | 5123 ----- OCSP响应程序服务中的配置条目已更改
311 | 5124 ----- 在OCSP Responder Service上更新了安全设置
312 | 5125 ----- 请求已提交给OCSP Responder Service
313 | 5126 ----- 签名证书由OCSP Responder Service自动更新
314 | 5127 ----- OCSP吊销提供商成功更新了吊销信息
315 | 5136 ----- 目录服务对象已修改
316 | 5137 ----- 已创建目录服务对象
317 | 5138 ----- 目录服务对象已取消删除
318 | 5139 ----- 已移动目录服务对象
319 | 5140 ----- 访问了网络共享对象
320 | 5141 ----- 目录服务对象已删除
321 | 5142 ----- 添加了网络共享对象。
322 | 5143 ----- 网络共享对象已被修改
323 | 5144 ----- 网络共享对象已删除。
324 | 5145 ----- 检查网络共享对象以查看是否可以向客户端授予所需的访问权限
325 | 5146 ----- Windows筛选平台已阻止数据包
326 | 5147 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
327 | 5148 ----- Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
328 | 5149 ----- DoS攻击已经消退，正常处理正在恢复。
329 | 5150 ----- Windows筛选平台已阻止数据包。
330 | 5151 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包。
331 | 5152 ----- Windows筛选平台阻止了数据包
332 | 5153 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
333 | 5154 ----- Windows过滤平台允许应用程序或服务在端口上侦听传入连接
334 | 5155 ----- Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
335 | 5156 ----- Windows筛选平台允许连接
336 | 5157 ----- Windows筛选平台已阻止连接
337 | 5158 ----- Windows筛选平台允许绑定到本地端口
338 | 5159 ----- Windows筛选平台已阻止绑定到本地端口
339 | 5168 ----- SMB / SMB2的Spn检查失败。
340 | 5169 ----- 目录服务对象已修改
341 | 5170 ----- 在后台清理任务期间修改了目录服务对象
342 | 5376 ----- 已备份凭据管理器凭据
343 | 5377 ----- Credential Manager凭据已从备份还原
344 | 5378 ----- 策略不允许请求的凭据委派
345 | 5440 ----- Windows筛选平台基本筛选引擎启动时出现以下callout
346 | 5441 ----- Windows筛选平台基本筛选引擎启动时存在以下筛选器
347 | 5442 ----- Windows筛选平台基本筛选引擎启动时，存在以下提供程序
348 | 5443 ----- Windows筛选平台基本筛选引擎启动时，存在以下提供程序上下文
349 | 5444 ----- Windows筛选平台基本筛选引擎启动时，存在以下子层
350 | 5446 ----- Windows筛选平台标注已更改
351 | 5447 ----- Windows筛选平台筛选器已更改
352 | 5448 ----- Windows筛选平台提供程序已更改
353 | 5449 ----- Windows筛选平台提供程序上下文已更改
354 | 5450 ----- Windows筛选平台子层已更改
355 | 5451 ----- 建立了IPsec快速模式安全关联
356 | 5452 ----- IPsec快速模式安全关联已结束
357 | 5453 ----- 与远程计算机的IPsec协商失败，因为未启动IKE和AuthIP IPsec密钥模块（IKEEXT）服务
358 | 5456 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略
359 | 5457 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略
360 | 5458 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本
361 | 5459 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本
362 | 5460 ----- PAStore引擎在计算机上应用了本地注册表存储IPsec策略
363 | 5461 ----- PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
364 | 5462 ----- PAStore引擎无法在计算机上应用某些活动IPsec策略规则
365 | 5463 ----- PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
366 | 5464 ----- PAStore引擎轮询活动IPsec策略的更改，检测到更改并将其应用于IPsec服务
367 | 5465 ----- PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
368 | 5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改，确定无法访问Active Directory，并将使用Active Directory
369 | IPsec策略的缓存副本
370 | 5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，并且未找到对策略的更改
371 | 5468 ----- PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，找到策略更改并应用这些更改
372 | 5471 ----- PAStore引擎在计算机上加载了本地存储IPsec策略
373 | 5472 ----- PAStore引擎无法在计算机上加载本地存储IPsec策略
374 | 5473 ----- PAStore引擎在计算机上加载了目录存储IPsec策略
375 | 5474 ----- PAStore引擎无法在计算机上加载目录存储IPsec策略
376 | 5477 ----- PAStore引擎无法添加快速模式过滤器
377 | 5478 ----- IPsec服务已成功启动
378 | 5479 ----- IPsec服务已成功关闭
379 | 5480 ----- IPsec服务无法获取计算机上的完整网络接口列表
380 | 5483 ----- IPsec服务无法初始化RPC服务器。无法启动IPsec服务
381 | 5484 ----- IPsec服务遇到严重故障并已关闭
382 | 5485 ----- IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
383 | 5632 ----- 已请求对无线网络进行身份验证
384 | 5633 ----- 已请求对有线网络进行身份验证
385 | 5712 ----- 尝试了远程过程调用（RPC）
386 | 5888 ----- COM +目录中的对象已被修改
387 | 5889 ----- 从COM +目录中删除了一个对象
388 | 5890 ----- 一个对象已添加到COM +目录中
389 | 6144 ----- 组策略对象中的安全策略已成功应用
390 | 6145 ----- 处理组策略对象中的安全策略时发生一个或多个错误
391 | 6272 ----- 网络策略服务器授予用户访问权限
392 | 6273 ----- 网络策略服务器拒绝访问用户
393 | 6274 ----- 网络策略服务器放弃了对用户的请求
394 | 6275 ----- 网络策略服务器放弃了用户的记帐请求
395 | 6276 ----- 网络策略服务器隔离了用户
396 | 6277 ----- 网络策略服务器授予用户访问权限，但由于主机未满足定义的健康策略而将其置于试用期
397 | 6278 ----- 网络策略服务器授予用户完全访问权限，因为主机符合定义的健康策略
398 | 6279 ----- 由于重复失败的身份验证尝试，网络策略服务器锁定了用户帐户
399 | 6280 ----- 网络策略服务器解锁了用户帐户
400 | 6281 ----- 代码完整性确定图像文件的页面哈希值无效…
401 | 6400 ----- BranchCache：在发现内容可用性时收到格式错误的响应。
402 | 6401 ----- BranchCache：从对等方收到无效数据。数据被丢弃。
403 | 6402 ----- BranchCache：提供数据的托管缓存的消息格式不正确。
404 | 6403 ----- BranchCache：托管缓存发送了对客户端消息的错误格式化响应以提供数据。
405 | 6404 ----- BranchCache：无法使用配置的SSL证书对托管缓存进行身份验证。
406 | 6405 ----- BranchCache：发生了事件ID％1的％2个实例。
407 | 6406 ----- ％1注册到Windows防火墙以控制以下过滤：
408 | 6408 ----- 已注册的产品％1失败，Windows防火墙现在正在控制％2的过滤。
409 | 6409 ----- BranchCache：无法解析服务连接点对象
410 | 6410 ----- 代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
411 | 6416 ----- 系统识别出新的外部设备。
412 | 6417 ----- FIPS模式加密自检成功
413 | 6418 ----- FIPS模式加密自检失败
414 | 6419 ----- 发出了禁用设备的请求
415 | 6420 ----- 设备已禁用
416 | 6421 ----- 已发出请求以启用设备
417 | 6422 ----- 设备已启用
418 | 6423 ----- 系统策略禁止安装此设备
419 | 6424 ----- 在事先被政策禁止之后，允许安装此设备
420 | 8191 ----- 最高系统定义的审计消息值


--------------------------------------------------------------------------------