این راهنما جهت اطلاع در خصوص Event ID هایی که توسط CoreLog Agent در سامانه Noise شده اند، تهیه شده است.
4611 |
A trusted logon process has been registered with the Local Security Authority. |
این رخداد نشان دهنده ثبت فرایند ورود به سیستم با استفاده از LSA می باشد. در سطح فنی، این رخداد از لحاظ ثبت روند ورود به سیستم قابل اطمینان نیست، اما تایید می کند که این روند یک فرآیند ورود به سیستم مورد اعتماد است.
|
informational |
Low |
|
4689 |
A process has exited. |
این رخداد هر زمان که یک فرایند از بین برود، ایجاد می شود.
|
Low |
||
4690 |
An attempt was made to duplicate a handle to an object. |
این رخداد در صورت تلاش برای تکرار رسیدگی به یک Object ایجاد شود، ایجاد می شود.
|
Low |
||
4672 |
Special privileges assigned to new logon. |
این رخداد برای account logon های جدید و در صورت اختصاص هریک از امتیاز های زیر به logon session جدید، ایجاد می شود: SeTcbPrivilege SeCreateTokenPrivilege SeEnableDelegationPrivilege SeImpersonatePrivilege و…. معمولا تعداد زیادی از این رخداد ها در Event Log وجود دارد، زیرا هر ورود Local سیستمی این رخداد را تولید می کند.
|
Low |
||
4648 |
A logon was attempted using explicit credentials. |
این رخداد زمانی ایجاد می شود که یک فرآیند برای ورود به یک حساب کاربری با مشخص کردن explicitly مربوط به credentials های حساب کاربری، تلاش می کند. این نیز یک رخداد روتین است که به صورت دوره ای در فعالیت های سیستم عامل اتفاق می افتد.
|
Low |
||
5447 |
A Windows Filtering Platform filter has been changed. |
این رخداد هر زمان که یک فیلتر مربوط به پلتفرم فیلترینگ ویندوز تغییر کند، ایجاد می شود. به طور معمول در حین فرایند های به روز رسانی Group Policy تولید می شود و عمدتا برای عیب یابی پلتفرم فیلترینگ ویندوز استفاده می شود و ارتباطی با امنیت ندارد.
|
informational |
Low |
|
4634 |
An account was logged off. |
این رخداد نشان می دهد که نشست logon، خاتمه یافته است و دیگر وجود ندارد. تفاوت عمده بین دو رخداد 4647 (که آن نیز مربوط به logoff می باشد) و 4634 این است که این رخداد 4647 زمانی ایجاد می شود که فرآیند logoff با استفاده از یک حساب کاربری انجام شده است و 4634 نشان می دهد که جلسه مذکور دیگر وجود ندارد.
|
Low |
||
4985 |
The state of a transaction has changed. |
یک رخداد اطلاع رسانی (Informational) از فایل سیستمی Transaction Manager می باشد.
|
informational |
Low |
|
4673 |
A privileged service was called. |
این رخداد هنگام فراخوانی اجرای عملیات سرویس های سیستمی ایجاد می شود. برای مثال، این رخداد، هنگام استفاده از SeSystemtimePrivilege، SeCreateGlobalPrivilege یا SeTcbPrivilege ، تولید می شود.
|
Low |
||
4656 |
A handle to an object was requested. |
این رخداد نشان دهنده درخواست به یک Object می باشد. این رخداد تنها زمانی ایجاد می شود که Object مربوط به SACL نیاز به ACE داشته باشد تا به استفاده از حقوق مشخص رسیدگی نماید. این رخداد تنها نشان دهنده درخواست می باشد و برای مشاهده تلاش برای دسترسی به به یک Object، رخداد 4663 بررسی می شود.
|
informational |
Low |
|
4658 |
The handle to an object was closed. |
این رخداد زمانی ایجاد می شود که رسیدگی به یک Object به اتمام برسد. این رویداد تنها در صورتی ایجاد می شود که auditing موفق برای subcategory رسیدگی به دستکاری audit فعال باشد. به طور معمول این رخداد مورد تنها در موارد خاص مورد نیاز در اطلاعات Object ها، استفاده می شود و هیچ ارتباطی با امنیت ندارد.
|
informational |
Low |
|
5152 |
The Windows Filtering Platform blocked a packet. |
این رخداد زمانی ایجاد می شود که پلتفرم فیلترینگ ویندوز یک Packet شبکه را مسدود کرده است. این رخداد به ازای هر Packet دریافتی، تولید می شود.
|
Low |
||
5154 |
The Windows Filtering Platform has permitted an application or service to listen on a port for incoming connections. |
این رخداد هر بار که پلتفرم فیلترینگ ویندوز، اجازه گوش دادن به یک پورت را به یک برنامه یا سرویس می دهد، ایجاد می شود. به طور معمول این رخداد از نوع Informational است.
|
informational |
Low |
|
5155 |
The Windows Filtering Platform has blocked an application or service from listening on a port for incoming connections. |
به طور پیش فرض فایروال ویندوز از دسترسی یک پورت توسط یک برنامه جلوگیری نمی کند. به عبارت دیگر، سیستم ویندوز رخداد 5155 خود را تولید نمی کند. اگر جهت جلوگیری از گوش دادن پورت ها توسط برنامه ها و سرویس ها، از API های پلتفرم فیلترینگ ویندوز استفاده شود، می توان از این رخداد برای عیب یابی استفاده کرد.
|
– |
Low |
|
5156 |
The Windows Filtering Platform has permitted a connection. |
این رخداد زمانی ایجاد می شود که پلتفرم فیلترینگ ویندوز به یک connection مجوز داده است.
|
Low |
||
5157 |
The Windows Filtering Platform has blocked a connection. |
این رخداد زمانی ایجاد می شود که پلتفرم فیلترینگ ویندوز یک connection را مسدود کرده است.
|
Low |
||
5158 |
The Windows Filtering Platform has permitted a bind to a local port. |
این رخداد هر بار که پلتفرم فیلترینگ ویندوز به یک برنامه یا سرویس برای اتصال به یک پورت محلی مجوز می دهد، ایجاد می شود.
|
Low |
||
5159 |
The Windows Filtering Platform has blocked a bind to a local port. |
این رخداد زمانی ایجاد می شود که اتصال به یک پورت محلی توسط API های پلتفرم فیلترینگ ویندوز، مسدود شده باشد.
|
– |
Low |
