Eventos de logon Descrio

528
529
530
531
532
533
534
535
536
537

538
539
540
541
542
543

Um usurio fez logon com sucesso em um computador. Para obter informaes sobre o tipo de logon, consulte a tabela Tipos de Logon a
seguir.
Falha de logon. Foi feita uma tentativa de logon com nome de usurio desconhecido ou senha invlida.
Falha de logon. Foi feita uma tentativa de logon por uma conta de usurio que tentou fazer logon fora do horrio permitido.
Falha de logon. Foi feita uma tentativa de logon usando-se uma conta desabilitada.
Falha de logon. Foi feita uma tentativa de logon usando-se uma conta expirada.
Falha de logon. Foi feita uma tentativa de logon por um usurio que no tem permisso para fazer logon nesse computador.
Falha de logon. O usurio tentou fazer logon com um tipo que no permitido.
Falha de logon. A senha da conta especificada expirou.
Falha de logon. O servio Net Logon no est ativo.
Falha de logon. A tentativa de logon falhou por outros motivos.
Observao
Em alguns casos, o motivo da falha do logon pode ser desconhecida.
O processo de logoff de um usurio foi concludo.
Falha de logon. A conta foi bloqueada no momento em que foi feita a tentativa de logon.
Um usurio fez logon com sucesso na rede.
Foi concluda a autenticao do Internet Key Exchange (IKE) de modo principal entre o computador local e a identidade dos
computadores listados (estabelecendo uma associao de segurana), ou o modo rpido estabeleceu um canal de dados.
Um canal de dados foi finalizado.
O modo principal foi finalizado.
Observao
Isso pode ocorrer porque o limite de tempo da associao de segurana expirou (o padro 8 horas), devido a alteraes nas diretivas
ou ao desligamento do computador.

544
545
546
547
548
549

Falha da autenticao do modo principal porque o computador no forneceu um certificado vlido ou a a assinatura no foi validada.
Falha na autenticao do modo principal devido a uma falha do Kerberos ou porque a senha era invlida.
Falha ao estabelecer a associao de segurana IKE porque o computador enviou uma proposta invlida. Foi recebido um pacote contendo
dados invlidos.
Ocorreu uma falha durante um handshake do IKE.
Falha de logon. A identificao de segurana (SID) de um domnio confivel no corresponde SID do domnio da conta do cliente.
Falha de logon. Todas as SIDs correspondentes a espaos para nome no-confiveis foram filtrados durante a autenticao entre florestas.

550
551
552
682
683

Mensagem de notificao que pode indicar um possvel ataque de negao de servio.

Um usurio iniciou um processo de logoff.
Um usurio fez logon com sucesso a um computador que usa credenciais explcitas enquanto j havia feito logon como um usurio
diferente.
Um usurio reconectou-se com uma sesso do Terminal Server desconectada.
Um usurio desconectou uma sesso do Terminal Server sem fazer logoff.
Observao
Esse evento gerado quando um usurio conectado a uma sesso do Terminal Server pela rede. Ele aparece no Terminal Server.

Quando um evento 528 registrado, um tipo de logon tambm listado no log de eventos. A tabela a seguir describe cada tipo de logon.

Tipo de Nome do logon

logon
2
3
4
5
7
8

9
10
11

Interactive
Network
Batch

Descrio

Um usurio fez logon nesse computador.

Um usurio ou computador fez logon nesse computador a partir da rede.
O tipo de logon Batch usado por servidores batch quando podem haver processos sendo executados em nome de um
usurio sem a sua interveno direta.
Service
Um servio foi iniciado pelo Gerenciador de Controle de Servios.
Unlock
Essa estao de trabalho foi desbloqueada.
NetworkClearte Um usurio fez logon nesse computador a partir da rede. A senha do usurio foi transmitida ao pacote de autenticao
xt
em sua forma sem hash. Todos os pacotes de autenticao internos aplicam hash em credenciais antes de envi-las pela
rede. As credenciais no precisam atravessar a rede em texto simples (tambm conhecido como texto no criptografado).
NewCredentials Um chamador clonou seu token atual e especificou novas credenciais para conexes de sada. A nova sesso de logon
possui a mesma identidade local, mas usa credenciais diferentes para outras conexes de rede.
RemoteInteracti Um usurio fez logon nesse computador remotamente usando servios de terminal ou rea de trabalho remota.
ve
CachedInteracti Um usurio fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador.
ve
O controlador do domnio no foi contatado para verificar as credenciais.

Eventos de Logon

Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia de logon ou logoff do usurio em outro computador na qual esse
computador seja usado para validar a conta. Eventos de logon de conta so gerados quando uma conta de usurio do domnio autenticada em um controlador de
domnio. O evento registrado no log de segurana do controlador de domnio. Os eventos de logon so gerados quando um usurio local autenticado em um
computador local. O evento registrado no log de segurana local. Eventos de logoff de conta no so gerados.
Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo
de evento. As auditorias com xito geram uma entrada de auditoria quando uma tentativa de logon de conta bem-sucedida. As auditorias sem xito geram uma
entrada de auditoria quando uma tentativa de logon de conta apresenta falhas.

Eventos de logon de
conta

Descrio

672
673
674
675

Uma permisso de servio de autenticao (AS) foi emitida e validada com sucesso.
Foi concedida uma permisso ao servio de concesso de permisso (TGS).
Um objeto de segurana renovou uma permisso AS ou TGS.
Falha de pr-autenticao. Esse evento gerado em um centro de distribuio de chaves (KDC) quando um usurio digita
uma senha incorreta.
Falha na solicitao da permisso de autenticao. Esse evento no gerado no Windows XP nem na famlia Windows
Server 2003.
No foi concedida uma permisso TGS. Esse evento no gerado no Windows XP nem na famlia Windows Server 2003.
A conta foi mapeada com sucesso como uma conta do domnio.
Falha de logon. Foi feita uma tentativa de logon na conta do domnio. Esse evento no gerado no Windows XP nem na
famlia Windows Server 2003.
Um usurio reconectou-se a uma sesso do Terminal Server desconectada.
Um usurio desconectou uma sesso do Terminal Server sem fazer logoff.

676
677
678
681
682
683