Security Events IDs – mapování událostí v systémech Windows 2003 a Vista+

Eric Fitzgerald popisuje v nekolika príspevcích vztah mezi záznamy na systémech Windows 2003 (ID 5xx-6xx), Vista a novejších (ID 4xxx-5xxx)

Zjednodušene EventID(WS03) + 4096 = EventID(WS08) pro vetšinu bezpecnostních záznamu ve Windows 2003. Výjimky jsou záznamy o prihlašování. Úspešná prihlášení (the logon success events 540, 528) jsou nyní jedna událost 4624 (=528 + 4096).  Záznamy neúspešných prihlášení, (události 529-537, 539) jsou nyní jedna událost 4625 (=529+4096).

Nekteré události se nadále nepoužívají (IPSec IIRC), další jsou nove pridány (DS Change).

Shrnující Erikuv clánek je zde, doplnující informace a duvody zde a zde.

Znacky Technorati: Audit,Windows Event ID