538 | Cierre de sesión del usuario | Este suceso no indica necesariamente la hora en que el usuario dejó de utilizar el equipo. Por ejemplo, si el usuario apaga el equipo sin antes cerrar la sesión o si se interrumpe la conexión de red a un recurso compartido, puede que el equipo no registre el cierre de sesión o que lo haga sólo cuando detecte la interrupción de la conexión. |
551 | El usuario inicia el cierre de sesión | Utiliza el suceso 538, que confirma el cierre de sesión. |
562 | Identificador para un objeto cerrado | Siempre registra una operación correcta. |
571 | El Administrador de autorización ha eliminado el contexto cliente. | Normal cuando el Administrador de autorización está en uso. |
573 | Proceso que genera un suceso de auditoría que no es del sistema con la interfaz de programación de aplicaciones de autorización (API AuthZ) | Comportamiento típico. |
577 578 | Se ha llamado al servicio de privilegio, operación de objeto privilegiado | Estos sucesos de gran volumen no suelen contener información que permita comprender lo ocurrido ni actuar en los sucesos. |
594 | Se ha duplicado un identificador para un objeto | Comportamiento típico. |
595 | Se ha obtenido acceso indirecto a un objeto | Comportamiento típico. |
596 | Copia de seguridad de clave de sesión de protección de datos | Tiene lugar automáticamente cada 90 días con la configuración predeterminada. |
597 | Recuperación de clave de sesión de protección de datos | Comportamiento típico. |
624 642 | Suceso 624 cuando Usuario es igual a Sistema, seguido de 642 cuando Nombre de cuenta de destino es igual a IUSR_nombreEquipo o IWAM_nombreEquipo, y Nombre de usuario que llama es igual a nombreEquipo$ | Esta secuencia de sucesos indica que un administrador tiene instalado IIS en el equipo. |
624 630 642 | Usuario es igual a Sistema y los tres sucesos presentan la misma marca de hora, Nombre de cuenta de destino/nueva es igual a Asistente de ayuda y Nombre de usuario que llama es igual a nombreCD$. | Esta secuencia se genera cuando un administrador instala Active Directory en un equipo que ejecuta Windows Server 2003. |
624 o 642 | Usuario es igual a nombreExchangeServer$ y Nombre de cuenta de destino es un identificador único global (GUID) | Este suceso tiene lugar cuando Exchange Server se conecta y genera automáticamente buzones de sistema. |
624 | Nombre de usuario que llama es cualquier usuario y Nombre de cuenta nueva es nombreEquipo$. | Un usuario del dominio ha creado o conectado un equipo nuevo en el dominio. Este suceso se acepta si los usuarios tienen derecho a unir equipos a un dominio; de lo contrario, el suceso no se debe investigar. |
627 | Usuario es igual a Sistema y Nombre de cuenta de destino es igual a TsInternetUser. Nombre de usuario que llama suele ser nombreCD$. | Estos sucesos se producen como resultado del comportamiento normal de un equipo que ejecuta Servicios de Terminal Server. |
672 | Solicitud de vale AS Kerberos | Si recopila sucesos 528 y 540 procedentes de todos los equipos, puede que el suceso 672 no contenga información útil adicional, ya que sólo registra la concesión de un vale TGT Kerberos. Se debe producir la concesión de un vale de servicio (suceso 673) para que pueda tener lugar cualquier acceso. |
680 | Inicio de sesión de cuenta | Si recopila sucesos 528 y 540 procedentes de todos los equipos, puede que el suceso 680 no contenga información útil adicional, ya que sólo registra la validación de las credenciales de la cuenta. Un suceso de inicio de sesión independiente registra el contenido al que el usuario obtuvo acceso. |
697 | API de comprobación de directiva de contraseña llamada | Comportamiento típico. |
768 | Colisión de espacio de nombres de bosque | La seguridad no se ve afectada. |
769 770 771 | Se ha agregado, eliminado o modificado información de confianza del bosque | Estos sucesos indican el funcionamiento normal de las confianzas entre bosques. No se deben confundir con la adición, eliminación o modificación de la confianza en sí. |
De 832 a 841 | Varios problemas de replicación de Active Directory | La seguridad no se ve afectada. |
