操作系统安全：安全审计，Windows系统日志详解，Windows事件ID汇总

「作者简介」：2022年北京冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础对安全知识体系进行总结与归纳，著作适用于快速入门的 《网络安全自学教程》，内容涵盖系统安全、信息收集等12个知识域的一百多个知识点，持续更新。

这一章节需要知道Windows系统的日志有哪些，常用的事件ID是什么，如何根据事件ID分析日志。

操作系统有4个安全目标，也就是说想要保证操作系统的安全，就必须实现这4个需求：

1. 标识系统中的用户和进行身份鉴别。
2. 依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问。
3. 审计系统运行的安全性。
4. 保证系统自身的安全性和完整性。

安全审计就是用来实现这些需求的安全机制之一。

Windows使用「事件查看器」记录系统和应用程序在运行过程中的各种事件日志，用于安全审计。

win + r，输入 eventvwr 打开事件查看器，查看Windows日志。

Windows日志主要看系统、安全、应用程序这三种。

1. 「系统日志」：审计系统事件，比如系统进程的启动/停止/暂停，设备驱动无法正常启动或停止。用于故障排查。
2. 「安全日志」：审计安全事件，比如用户登录/注销/权限变更，文件及文件夹访问等。用于应急排查。
3. 「应用程序」：审计应用程序软件的运行事件。

日志有五种级别：信息、告警、错误、成功审核、失败审核。

1. 信息（Information）：应用程序、驱动程序或服务成功操作的事件。
2. 警告（Warning）：可能会发生的问题，比如磁盘空间不足。
3. 错误（Error）：功能和数据丢失。
4. 成功审核（Success audit）：安全性日志，记录用户、策略、访问等事件，比如登录成功。
5. 失败审核（Failure audit）：登录失败事件，比如用户访问网络驱动器失败。

每个日志默认大小是20M，保存在 C:\Windows\System32\Winevt\Logs\，对应文件是System.evtx、Security.evtx、Application.evtx。

分析日志时，点右侧的筛选当前日志，根据事件ID搜索。常用到用户相关的事件。

用户登录事件：

• 4624：登录成功
• 4625：登录失败
• 4634：注销本地登录用户
• 4647：注销远程登录的用户
• 4648：使用显式凭证尝试登录
• 4672：新登录的用户被分配管理员权限

用户管理事件：

• 4720：新建用户
• 4722：启用新用户
• 4724：修改用户密码
• 4725：禁用用户
• 4726：删除用户
• 4731：创建用户组
• 4732：添加用户到用户组
• 4733：从组中删除用户
• 4734：删除用户组。
• 4735：安全组更改
• 4738：修改用户账户
• 4798：枚举本地用户组

登录事件的登录类型有很多种，对分析很有帮助。

完整的Windows事件ID如下：

1100	-----      事件记录服务已关闭
1101	-----      审计事件已被传输中断
1102	-----      事件日志已清除
1104	-----      事件日志已满
1105	-----      事件日志自动备份
1108	-----      事件日志记录服务遇到错误
4608	-----      Windows正在启动
4609	-----      Windows正在关闭
4610	-----      本地安全机构已加载身份验证数据包，在登录时验证用户身份
4611	-----      已向本地安全机构注册了受信任的登录进程
4612	-----      为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。
4614	-----      安全帐户管理器已加载通知包。
4615	-----      LPC端口使用无效
4616	-----      系统时间已更改。
4618	-----      已发生受监视的安全事件模式
4621	-----      管理员从CrashOnAuditFail恢复了系统
4622	-----      本地安全机构已加载安全包。
4624	-----      帐户已成功登录
4625	-----      帐户无法登录
4626	-----      用户/设备声明信息
4627	-----      集团会员信息。
4634	-----      帐户已注销
4646	-----      IKE DoS防护模式已启动
4647	-----      用户启动了注销
4648	-----      使用显式凭据尝试登录
4649	-----      检测到重播攻击
4650	-----      建立了IPsec主模式安全关联
4651	-----      建立了IPsec主模式安全关联
4652	-----      IPsec主模式协商失败
4653	-----      IPsec主模式协商失败
4654	-----      IPsec快速模式协商失败
4655	-----      IPsec主模式安全关联已结束
4656	-----      请求了对象的句柄
4657	-----      注册表值已修改
4658	-----      对象的句柄已关闭
4659	-----      请求删除对象的句柄
4660	-----      对象已删除
4661	-----      请求了对象的句柄
4662	-----      对对象执行了操作
4663	-----      尝试访问对象
4664	-----      试图创建一个硬链接
4665	-----      尝试创建应用程序客户端上下文。
4666	-----      应用程序尝试了一个操作
4667	-----      应用程序客户端上下文已删除
4668	-----      应用程序已初始化
4670	-----      对象的权限已更改
4671	-----      应用程序试图通过TBS访问被阻止的序号
4672	-----      分配给新登录的特权
4673	-----      特权服务被召唤
4674	-----      尝试对特权对象执行操作
4675	-----      SID被过滤掉了
4688	-----      已经创建了一个新流程
4689	-----      一个过程已经退出
4690	-----      尝试复制对象的句柄
4691	-----      请求间接访问对象
4692	-----      尝试备份数据保护主密钥
4693	-----      尝试恢复数据保护主密钥
4694	-----      试图保护可审计的受保护数据
4695	-----      尝试不受保护的可审计受保护数据
4696	-----      主要令牌已分配给进程
4697	-----      系统中安装了一项服务
4698	-----      已创建计划任务
4699	-----      计划任务已删除
4700	-----      已启用计划任务
4701	-----      计划任务已禁用
4702	-----      计划任务已更新
4703	-----      令牌权已经调整
4704	-----      已分配用户权限
4705	-----      用户权限已被删除
4706	-----      为域创建了新的信任
4707	-----      已删除对域的信任
4709	-----      IPsec服务已启动
4710	-----      IPsec服务已禁用
4711	-----      PAStore引擎（1％）
4712	-----      IPsec服务遇到了潜在的严重故障
4713	-----      Kerberos策略已更改
4714	-----      加密数据恢复策略已更改
4715	-----      对象的审核策略（SACL）已更改
4716	-----      可信域信息已被修改
4717	-----      系统安全访问权限已授予帐户
4718	-----      系统安全访问已从帐户中删除
4719	-----      系统审核策略已更改
4720	-----      已创建用户帐户
4722	-----      用户帐户已启用
4723	-----      尝试更改帐户的密码
4724	-----      尝试重置帐户密码
4725	-----      用户帐户已被禁用
4726	-----      用户帐户已删除
4727	-----      已创建启用安全性的全局组
4728	-----      已将成员添加到启用安全性的全局组中
4729	-----      成员已从启用安全性的全局组中删除
4730	-----      已删除启用安全性的全局组
4731	-----      已创建启用安全性的本地组
4732	-----      已将成员添加到启用安全性的本地组
4733	-----      成员已从启用安全性的本地组中删除
4734	-----      已删除已启用安全性的本地组
4735	-----      已启用安全性的本地组已更改
4737	-----      启用安全性的全局组已更改
4738	-----      用户帐户已更改
4739	-----      域策略已更改
4740	-----      用户帐户已被锁定
4741	-----      已创建计算机帐户
4742	-----      计算机帐户已更改
4743	-----      计算机帐户已删除
4744	-----      已创建禁用安全性的本地组
4745	-----      已禁用安全性的本地组已更改
4746	-----      已将成员添加到已禁用安全性的本地组
4747	-----      已从安全性已禁用的本地组中删除成员
4748	-----      已删除安全性已禁用的本地组
4749	-----      已创建一个禁用安全性的全局组
4750	-----      已禁用安全性的全局组已更改
4751	-----      已将成员添加到已禁用安全性的全局组中
4752	-----      成员已从禁用安全性的全局组中删除
4753	-----      已删除安全性已禁用的全局组
4754	-----      已创建启用安全性的通用组
4755	-----      启用安全性的通用组已更改
4756	-----      已将成员添加到启用安全性的通用组中
4757	-----      成员已从启用安全性的通用组中删除
4758	-----      已删除启用安全性的通用组
4759	-----      创建了一个安全禁用的通用组
4760	-----      安全性已禁用的通用组已更改
4761	-----      已将成员添加到已禁用安全性的通用组中
4762	-----      成员已从禁用安全性的通用组中删除
4763	-----      已删除安全性已禁用的通用组
4764	-----      组类型已更改
4765	-----      SID历史记录已添加到帐户中
4766	-----      尝试将SID历史记录添加到帐户失败
4767	-----      用户帐户已解锁
4768	-----      请求了Kerberos身份验证票证（TGT）
4769	-----      请求了Kerberos服务票证
4770	-----      更新了Kerberos服务票证
4771	-----      Kerberos预身份验证失败
4772	-----      Kerberos身份验证票证请求失败
4773	-----      Kerberos服务票证请求失败
4774	-----      已映射帐户以进行登录
4775	-----      无法映射帐户以进行登录
4776	-----      域控制器尝试验证帐户的凭据
4777	-----      域控制器无法验证帐户的凭据
4778	-----      会话重新连接到Window Station
4779	-----      会话已与Window   Station断开连接
4780	-----      ACL是在作为管理员组成员的帐户上设置的
4781	-----      帐户名称已更改
4782	-----      密码哈希帐户被访问
4783	-----      创建了一个基本应用程序组
4784	-----      基本应用程序组已更改
4785	-----      成员已添加到基本应用程序组
4786	-----      成员已从基本应用程序组中删除
4787	-----      非成员已添加到基本应用程序组
4788	-----      从基本应用程序组中删除了非成员。
4789	-----      基本应用程序组已删除
4790	-----      已创建LDAP查询组
4791	-----      基本应用程序组已更改
4792	-----      LDAP查询组已删除
4793	-----      密码策略检查API已被调用
4794	-----      尝试设置目录服务还原模式管理员密码
4797	-----      试图查询帐户是否存在空白密码
4798	-----      枚举了用户的本地组成员身份。
4799	-----      已枚举启用安全性的本地组成员身份
4800	-----      工作站已锁定
4801	-----      工作站已解锁
4802	-----      屏幕保护程序被调用
4803	-----      屏幕保护程序被解雇了
4816	-----      RPC在解密传入消息时检测到完整性违规
4817	-----      对象的审核设置已更改。
4818	-----      建议的中央访问策略不授予与当前中央访问策略相同的访问权限
4819	-----      计算机上的中央访问策略已更改
4820	-----      Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制
4821	-----      Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制
4822	-----      NTLM身份验证失败，因为该帐户是受保护用户组的成员
4823	-----      NTLM身份验证失败，因为需要访问控制限制
4824	-----      使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员
4825	-----      用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote
                   Desktop Users组或Administrators组的成员时才允许用户进行连接
4826	-----      加载引导配置数据
4830	-----      SID历史记录已从帐户中删除
4864	-----      检测到名称空间冲突
4865	-----      添加了受信任的林信息条目
4866	-----      已删除受信任的林信息条目
4867	-----      已修改受信任的林信息条目
4868	-----      证书管理器拒绝了挂起的证书请求
4869	-----      证书服务收到重新提交的证书请求
4870	-----      证书服务撤销了证书
4871	-----      证书服务收到发布证书吊销列表（CRL）的请求
4872	-----      证书服务发布证书吊销列表（CRL）
4873	-----      证书申请延期已更改
4874	-----      一个或多个证书请求属性已更改。
4875	-----      证书服务收到关闭请求
4876	-----      证书服务备份已启动
4877	-----      证书服务备份已完成
4878	-----      证书服务还原已开始
4879	-----      证书服务恢复已完成
4880	-----      证书服务已启动
4881	-----      证书服务已停止
4882	-----      证书服务的安全权限已更改
4883	-----      证书服务检索到存档密钥
4884	-----      证书服务将证书导入其数据库
4885	-----      证书服务的审核筛选器已更改
4886	-----      证书服务收到证书请求
4887	-----      证书服务批准了证书请求并颁发了证书
4888	-----      证书服务拒绝了证书请求
4889	-----      证书服务将证书请求的状态设置为挂起
4890	-----      证书服务的证书管理器设置已更改。
4891	-----      证书服务中的配置条目已更改
4892	-----      证书服务的属性已更改
4893	-----      证书服务存档密钥
4894	-----      证书服务导入并存档了一个密钥
4895	-----      证书服务将CA证书发布到Active Directory域服务
4896	-----      已从证书数据库中删除一行或多行
4897	-----      启用角色分离
4898	-----      证书服务加载了一个模板
4899	-----      证书服务模板已更新
4900	-----      证书服务模板安全性已更新
4902	-----      已创建每用户审核策略表
4904	-----      尝试注册安全事件源
4905	-----      尝试取消注册安全事件源
4906	-----      CrashOnAuditFail值已更改
4907	-----      对象的审核设置已更改
4908	-----      特殊组登录表已修改
4909	-----      TBS的本地策略设置已更改
4910	-----      TBS的组策略设置已更改
4911	-----      对象的资源属性已更改
4912	-----      每用户审核策略已更改
4913	-----      对象的中央访问策略已更改
4928	-----      建立了Active  Directory副本源命名上下文
4929	-----      已删除Active  Directory副本源命名上下文
4930	-----      已修改Active  Directory副本源命名上下文
4931	-----      已修改Active  Directory副本目标命名上下文
4932	-----      已开始同步Active  Directory命名上下文的副本
4933	-----      Active  Directory命名上下文的副本的同步已结束
4934	-----      已复制Active  Directory对象的属性
4935	-----      复制失败开始
4936	-----      复制失败结束
4937	-----      从副本中删除了一个延迟对象
4944	-----      Windows防火墙启动时，以下策略处于活动状态
4945	-----      Windows防火墙启动时列出了规则
4946	-----      已对Windows防火墙例外列表进行了更改。增加了一条规则
4947	-----      已对Windows防火墙例外列表进行了更改。规则被修改了
4948	-----      已对Windows防火墙例外列表进行了更改。规则已删除
4949	-----      Windows防火墙设置已恢复为默认值
4950	-----      Windows防火墙设置已更改
4951	-----      规则已被忽略，因为Windows防火墙无法识别其主要版本号
4952	-----      已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号
4953	-----      Windows防火墙已忽略规则，因为它无法解析规则
4954	-----      Windows防火墙组策略设置已更改。已应用新设置
4956	-----      Windows防火墙已更改活动配置文件
4957	-----      Windows防火墙未应用以下规则
4958	-----      Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目
4960	-----      IPsec丢弃了未通过完整性检查的入站数据包
4961	-----      IPsec丢弃了重放检查失败的入站数据包
4962	-----      IPsec丢弃了重放检查失败的入站数据包
4963	-----      IPsec丢弃了应该受到保护的入站明文数据包
4964	-----      特殊组已分配给新登录
4965	-----      IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。
4976	-----      在主模式协商期间，IPsec收到无效的协商数据包。
4977	-----      在快速模式协商期间，IPsec收到无效的协商数据包。
4978	-----      在扩展模式协商期间，IPsec收到无效的协商数据包。
4979	-----      建立了IPsec主模式和扩展模式安全关联。
4980	-----      建立了IPsec主模式和扩展模式安全关联
4981	-----      建立了IPsec主模式和扩展模式安全关联
4982	-----      建立了IPsec主模式和扩展模式安全关联
4983	-----      IPsec扩展模式协商失败
4984	-----      IPsec扩展模式协商失败
4985	-----      交易状态已发生变化
5024	-----      Windows防火墙服务已成功启动
5025	-----      Windows防火墙服务已停止
5027	-----      Windows防火墙服务无法从本地存储中检索安全策略
5028	-----      Windows防火墙服务无法解析新的安全策略。
5029	-----      Windows防火墙服务无法初始化驱动程序
5030	-----      Windows防火墙服务无法启动
5031	-----      Windows防火墙服务阻止应用程序接受网络上的传入连接。
5032	-----      Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
5033	-----      Windows防火墙驱动程序已成功启动
5034	-----      Windows防火墙驱动程序已停止
5035	-----      Windows防火墙驱动程序无法启动
5037	-----      Windows防火墙驱动程序检测到严重的运行时错 终止
5038	-----      代码完整性确定文件的图像哈希无效
5039	-----      注册表项已虚拟化。
5040	-----      已对IPsec设置进行了更改。添加了身份验证集。
5041	-----      已对IPsec设置进行了更改。身份验证集已修改
5042	-----      已对IPsec设置进行了更改。身份验证集已删除
5043	-----      已对IPsec设置进行了更改。添加了连接安全规则
5044	-----      已对IPsec设置进行了更改。连接安全规则已修改
5045	-----      已对IPsec设置进行了更改。连接安全规则已删除
5046	-----      已对IPsec设置进行了更改。添加了加密集
5047	-----      已对IPsec设置进行了更改。加密集已被修改
5048	-----      已对IPsec设置进行了更改。加密集已删除
5049	-----      IPsec安全关联已删除
5050	-----      尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE
5051	-----      文件已虚拟化
5056	-----      进行了密码自检
5057	-----      加密原语操作失败
5058	-----      密钥文件操作
5059	-----      密钥迁移操作
5060	-----      验证操作失败
5061	-----      加密操作
5062	-----      进行了内核模式加密自检
5063	-----      尝试了加密提供程序操作
5064	-----      尝试了加密上下文操作
5065	-----      尝试了加密上下文修改
5066	-----      尝试了加密功能操作
5067	-----      尝试了加密功能修改
5068	-----      尝试了加密函数提供程序操作
5069	-----      尝试了加密函数属性操作
5070	-----      尝试了加密函数属性操作
5071	-----      Microsoft密钥分发服务拒绝密钥访问
5120	-----      OCSP响应程序服务已启动
5121	-----      OCSP响应程序服务已停止
5122	-----      OCSP响应程序服务中的配置条目已更改
5123	-----      OCSP响应程序服务中的配置条目已更改
5124	-----      在OCSP  Responder Service上更新了安全设置
5125	-----      请求已提交给OCSP  Responder Service
5126	-----      签名证书由OCSP  Responder Service自动更新
5127	-----      OCSP吊销提供商成功更新了吊销信息
5136	-----      目录服务对象已修改
5137	-----      已创建目录服务对象
5138	-----      目录服务对象已取消删除
5139	-----      已移动目录服务对象
5140	-----      访问了网络共享对象
5141	-----      目录服务对象已删除
5142	-----      添加了网络共享对象。
5143	-----      网络共享对象已被修改
5144	-----      网络共享对象已删除。
5145	-----      检查网络共享对象以查看是否可以向客户端授予所需的访问权限
5146	-----      Windows筛选平台已阻止数据包
5147	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
5148	-----      Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
5149	-----      DoS攻击已经消退，正常处理正在恢复。
5150	-----      Windows筛选平台已阻止数据包。
5151	-----      限制性更强的Windows筛选平台筛选器阻止了数据包。
5152	-----      Windows筛选平台阻止了数据包
5153	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
5154	-----      Windows过滤平台允许应用程序或服务在端口上侦听传入连接
5155	-----      Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
5156	-----      Windows筛选平台允许连接
5157	-----      Windows筛选平台已阻止连接
5158	-----      Windows筛选平台允许绑定到本地端口
5159	-----      Windows筛选平台已阻止绑定到本地端口
5168	-----      SMB  / SMB2的Spn检查失败。
5169	-----      目录服务对象已修改
5170	-----      在后台清理任务期间修改了目录服务对象
5376	-----      已备份凭据管理器凭据
5377	-----      Credential  Manager凭据已从备份还原
5378	-----      策略不允许请求的凭据委派
5440	-----      Windows筛选平台基本筛选引擎启动时出现以下callout
5441	-----      Windows筛选平台基本筛选引擎启动时存在以下筛选器
5442	-----      Windows筛选平台基本筛选引擎启动时，存在以下提供程序
5443	-----      Windows筛选平台基本筛选引擎启动时，存在以下提供程序上下文
5444	-----      Windows筛选平台基本筛选引擎启动时，存在以下子层
5446	-----      Windows筛选平台标注已更改
5447	-----      Windows筛选平台筛选器已更改
5448	-----      Windows筛选平台提供程序已更改
5449	-----      Windows筛选平台提供程序上下文已更改
5450	-----      Windows筛选平台子层已更改
5451	-----      建立了IPsec快速模式安全关联
5452	-----      IPsec快速模式安全关联已结束
5453	-----      与远程计算机的IPsec协商失败，因为未启动IKE和AuthIP  IPsec密钥模块（IKEEXT）服务
5456	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略
5457	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略
5458	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略的本地缓存副本
5459	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略的本地缓存副本
5460	-----      PAStore引擎在计算机上应用了本地注册表存储IPsec策略
5461	-----      PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
5462	-----      PAStore引擎无法在计算机上应用某些活动IPsec策略规则
5463	-----      PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
5464	-----      PAStore引擎轮询活动IPsec策略的更改，检测到更改并将其应用于IPsec服务
5465	-----      PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
5466	-----      PAStore引擎轮询Active  Directory IPsec策略的更改，确定无法访问Active Directory，并将使用Active Directory
IPsec策略的缓存副本
5467	-----      PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，并且未找到对策略的更改
5468	-----      PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，找到策略更改并应用这些更改
5471	-----      PAStore引擎在计算机上加载了本地存储IPsec策略
5472	-----      PAStore引擎无法在计算机上加载本地存储IPsec策略
5473	-----      PAStore引擎在计算机上加载了目录存储IPsec策略
5474	-----      PAStore引擎无法在计算机上加载目录存储IPsec策略
5477	-----      PAStore引擎无法添加快速模式过滤器
5478	-----      IPsec服务已成功启动
5479	-----      IPsec服务已成功关闭
5480	-----      IPsec服务无法获取计算机上的完整网络接口列表
5483	-----      IPsec服务无法初始化RPC服务器。无法启动IPsec服务
5484	-----      IPsec服务遇到严重故障并已关闭
5485	-----      IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
5632	-----      已请求对无线网络进行身份验证
5633	-----      已请求对有线网络进行身份验证
5712	-----      尝试了远程过程调用（RPC）
5888	-----      COM +目录中的对象已被修改
5889	-----      从COM +目录中删除了一个对象
5890	-----      一个对象已添加到COM +目录中
6144	-----      组策略对象中的安全策略已成功应用
6145	-----      处理组策略对象中的安全策略时发生一个或多个错误
6272	-----      网络策略服务器授予用户访问权限
6273	-----      网络策略服务器拒绝访问用户
6274	-----      网络策略服务器放弃了对用户的请求
6275	-----      网络策略服务器放弃了用户的记帐请求
6276	-----      网络策略服务器隔离了用户
6277	-----      网络策略服务器授予用户访问权限，但由于主机未满足定义的健康策略而将其置于试用期
6278	-----      网络策略服务器授予用户完全访问权限，因为主机符合定义的健康策略
6279	-----      由于重复失败的身份验证尝试，网络策略服务器锁定了用户帐户
6280	-----      网络策略服务器解锁了用户帐户
6281	-----      代码完整性确定图像文件的页面哈希值无效...
6400	-----      BranchCache：在发现内容可用性时收到格式错误的响应。
6401	-----      BranchCache：从对等方收到无效数据。数据被丢弃。
6402	-----      BranchCache：提供数据的托管缓存的消息格式不正确。
6403	-----      BranchCache：托管缓存发送了对客户端消息的错误格式化响应以提供数据。
6404	-----      BranchCache：无法使用配置的SSL证书对托管缓存进行身份验证。
6405	-----      BranchCache：发生了事件ID％1的％2个实例。
6406	-----      ％1注册到Windows防火墙以控制以下过滤：
6408	-----      已注册的产品％1失败，Windows防火墙现在正在控制％2的过滤。
6409	-----      BranchCache：无法解析服务连接点对象
6410	-----      代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
6416	-----      系统识别出新的外部设备。
6417	-----      FIPS模式加密自检成功
6418	-----      FIPS模式加密自检失败
6419	-----      发出了禁用设备的请求
6420	-----      设备已禁用
6421	-----      已发出请求以启用设备
6422	-----      设备已启用
6423	-----      系统策略禁止安装此设备
6424	-----      在事先被政策禁止之后，允许安装此设备
8191	-----      最高系统定义的审计消息值

1101	-----      审计事件已被运输中断。
1102	-----      审核日志已清除
1104	-----      安全日志现已满
1105	-----      事件日志自动备份
1108	-----      事件日志记录服务遇到错误
4608	-----      Windows正在启动
4609	-----      Windows正在关闭
4610	-----      本地安全机构已加载身份验证包
4611	-----      已向本地安全机构注册了受信任的登录进程
4612	-----      为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。
4614	-----      安全帐户管理器已加载通知包。
4615	-----      LPC端口使用无效
4616	-----      系统时间已更改。
4618	-----      已发生受监视的安全事件模式
4621	-----      管理员从CrashOnAuditFail恢复了系统
4622	-----      本地安全机构已加载安全包。
4624	-----      帐户已成功登录
4625	-----      帐户无法登录
4626	-----      用户/设备声明信息
4627	-----      集团会员信息。
4634	-----      帐户已注销
4646	-----      IKE DoS防护模式已启动
4647	-----      用户启动了注销
4648	-----      使用显式凭据尝试登录
4649	-----      检测到重播攻击
4650	-----      建立了IPsec主模式安全关联
4651	-----      建立了IPsec主模式安全关联
4652	-----      IPsec主模式协商失败
4653	-----      IPsec主模式协商失败
4654	-----      IPsec快速模式协商失败
4655	-----      IPsec主模式安全关联已结束
4656	-----      请求了对象的句柄
4657	-----      注册表值已修改
4658	-----      对象的句柄已关闭
4659	-----      请求删除对象的句柄
4660	-----      对象已删除
4661	-----      请求了对象的句柄
4662	-----      对对象执行了操作
4663	-----      尝试访问对象
4664	-----      试图创建一个硬链接
4665	-----      尝试创建应用程序客户端上下文。
4666	-----      应用程序尝试了一个操作
4667	-----      应用程序客户端上下文已删除
4668	-----      应用程序已初始化
4670	-----      对象的权限已更改
4671	-----      应用程序试图通过TBS访问被阻止的序号
4672	-----      分配给新登录的特权
4673	-----      特权服务被召唤
4674	-----      尝试对特权对象执行操作
4675	-----      SID被过滤掉了
4688	-----      已经创建了一个新流程
4689	-----      一个过程已经退出
4690	-----      尝试复制对象的句柄
4691	-----      请求间接访问对象
4692	-----      尝试备份数据保护主密钥
4693	-----      尝试恢复数据保护主密钥
4694	-----      试图保护可审计的受保护数据
4695	-----      尝试不受保护的可审计受保护数据
4696	-----      主要令牌已分配给进程
4697	-----      系统中安装了一项服务
4698	-----      已创建计划任务
4699	-----      计划任务已删除
4700	-----      已启用计划任务
4701	-----      计划任务已禁用
4702	-----      计划任务已更新
4703	-----      令牌权已经调整
4704	-----      已分配用户权限
4705	-----      用户权限已被删除
4706	-----      为域创建了新的信任
4707	-----      已删除对域的信任
4709	-----      IPsec服务已启动
4710	-----      IPsec服务已禁用
4711	-----      PAStore引擎（1％）
4712	-----      IPsec服务遇到了潜在的严重故障
4713	-----      Kerberos策略已更改
4714	-----      加密数据恢复策略已更改
4715	-----      对象的审核策略（SACL）已更改
4716	-----      可信域信息已被修改
4717	-----      系统安全访问权限已授予帐户
4718	-----      系统安全访问已从帐户中删除
4719	-----      系统审核策略已更改
4720	-----      已创建用户帐户
4722	-----      用户帐户已启用
4723	-----      尝试更改帐户的密码
4724	-----      尝试重置帐户密码
4725	-----      用户帐户已被禁用
4726	-----      用户帐户已删除
4727	-----      已创建启用安全性的全局组
4728	-----      已将成员添加到启用安全性的全局组中
4729	-----      成员已从启用安全性的全局组中删除
4730	-----      已删除启用安全性的全局组
4731	-----      已创建启用安全性的本地组
4732	-----      已将成员添加到启用安全性的本地组
4733	-----      成员已从启用安全性的本地组中删除
4734	-----      已删除已启用安全性的本地组
4735	-----      已启用安全性的本地组已更改
4737	-----      启用安全性的全局组已更改
4738	-----      用户帐户已更改
4739	-----      域策略已更改
4740	-----      用户帐户已被锁定
4741	-----      已创建计算机帐户
4742	-----      计算机帐户已更改
4743	-----      计算机帐户已删除
4744	-----      已创建禁用安全性的本地组
4745	-----      已禁用安全性的本地组已更改
4746	-----      已将成员添加到已禁用安全性的本地组
4747	-----      已从安全性已禁用的本地组中删除成员
4748	-----      已删除安全性已禁用的本地组
4749	-----      已创建一个禁用安全性的全局组
4750	-----      已禁用安全性的全局组已更改
4751	-----      已将成员添加到已禁用安全性的全局组中
4752	-----      成员已从禁用安全性的全局组中删除
4753	-----      已删除安全性已禁用的全局组
4754	-----      已创建启用安全性的通用组
4755	-----      启用安全性的通用组已更改
4756	-----      已将成员添加到启用安全性的通用组中
4757	-----      成员已从启用安全性的通用组中删除
4758	-----      已删除启用安全性的通用组
4759	-----      创建了一个安全禁用的通用组
4760	-----      安全性已禁用的通用组已更改
4761	-----      已将成员添加到已禁用安全性的通用组中
4762	-----      成员已从禁用安全性的通用组中删除
4763	-----      已删除安全性已禁用的通用组
4764	-----      组类型已更改
4765	-----      SID历史记录已添加到帐户中
4766	-----      尝试将SID历史记录添加到帐户失败
4767	-----      用户帐户已解锁
4768	-----      请求了Kerberos身份验证票证（TGT）
4769	-----      请求了Kerberos服务票证
4770	-----      更新了Kerberos服务票证
4771	-----      Kerberos预身份验证失败
4772	-----      Kerberos身份验证票证请求失败
4773	-----      Kerberos服务票证请求失败
4774	-----      已映射帐户以进行登录
4775	-----      无法映射帐户以进行登录
4776	-----      域控制器尝试验证帐户的凭据
4777	-----      域控制器无法验证帐户的凭据
4778	-----      会话重新连接到Window Station
4779	-----      会话已与Window   Station断开连接
4780	-----      ACL是在作为管理员组成员的帐户上设置的
4781	-----      帐户名称已更改
4782	-----      密码哈希帐户被访问
4783	-----      创建了一个基本应用程序组
4784	-----      基本应用程序组已更改
4785	-----      成员已添加到基本应用程序组
4786	-----      成员已从基本应用程序组中删除
4787	-----      非成员已添加到基本应用程序组
4788	-----      从基本应用程序组中删除了非成员。
4789	-----      基本应用程序组已删除
4790	-----      已创建LDAP查询组
4791	-----      基本应用程序组已更改
4792	-----      LDAP查询组已删除
4793	-----      密码策略检查API已被调用
4794	-----      尝试设置目录服务还原模式管理员密码
4797	-----      试图查询帐户是否存在空白密码
4798	-----      枚举了用户的本地组成员身份。
4799	-----      已枚举启用安全性的本地组成员身份
4800	-----      工作站已锁定
4801	-----      工作站已解锁
4802	-----      屏幕保护程序被调用
4803	-----      屏幕保护程序被解雇了
4816	-----      RPC在解密传入消息时检测到完整性违规
4817	-----      对象的审核设置已更改。
4818	-----      建议的中央访问策略不授予与当前中央访问策略相同的访问权限
4819	-----      计算机上的中央访问策略已更改
4820	-----      Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制
4821	-----      Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制
4822	-----      NTLM身份验证失败，因为该帐户是受保护用户组的成员
4823	-----      NTLM身份验证失败，因为需要访问控制限制
4824	-----      使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员
4825	-----      用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote
                   Desktop Users组或Administrators组的成员时才允许用户进行连接
4826	-----      加载引导配置数据
4830	-----      SID历史记录已从帐户中删除
4864	-----      检测到名称空间冲突
4865	-----      添加了受信任的林信息条目
4866	-----      已删除受信任的林信息条目
4867	-----      已修改受信任的林信息条目
4868	-----      证书管理器拒绝了挂起的证书请求
4869	-----      证书服务收到重新提交的证书请求
4870	-----      证书服务撤销了证书
4871	-----      证书服务收到发布证书吊销列表（CRL）的请求
4872	-----      证书服务发布证书吊销列表（CRL）
4873	-----      证书申请延期已更改
4874	-----      一个或多个证书请求属性已更改。
4875	-----      证书服务收到关闭请求
4876	-----      证书服务备份已启动
4877	-----      证书服务备份已完成
4878	-----      证书服务还原已开始
4879	-----      证书服务恢复已完成
4880	-----      证书服务已启动
4881	-----      证书服务已停止
4882	-----      证书服务的安全权限已更改
4883	-----      证书服务检索到存档密钥
4884	-----      证书服务将证书导入其数据库
4885	-----      证书服务的审核筛选器已更改
4886	-----      证书服务收到证书请求
4887	-----      证书服务批准了证书请求并颁发了证书
4888	-----      证书服务拒绝了证书请求
4889	-----      证书服务将证书请求的状态设置为挂起
4890	-----      证书服务的证书管理器设置已更改。
4891	-----      证书服务中的配置条目已更改
4892	-----      证书服务的属性已更改
4893	-----      证书服务存档密钥
4894	-----      证书服务导入并存档了一个密钥
4895	-----      证书服务将CA证书发布到Active Directory域服务
4896	-----      已从证书数据库中删除一行或多行
4897	-----      启用角色分离
4898	-----      证书服务加载了一个模板
4899	-----      证书服务模板已更新
4900	-----      证书服务模板安全性已更新
4902	-----      已创建每用户审核策略表
4904	-----      尝试注册安全事件源
4905	-----      尝试取消注册安全事件源
4906	-----      CrashOnAuditFail值已更改
4907	-----      对象的审核设置已更改
4908	-----      特殊组登录表已修改
4909	-----      TBS的本地策略设置已更改
4910	-----      TBS的组策略设置已更改
4911	-----      对象的资源属性已更改
4912	-----      每用户审核策略已更改
4913	-----      对象的中央访问策略已更改
4928	-----      建立了Active  Directory副本源命名上下文
4929	-----      已删除Active  Directory副本源命名上下文
4930	-----      已修改Active  Directory副本源命名上下文
4931	-----      已修改Active  Directory副本目标命名上下文
4932	-----      已开始同步Active  Directory命名上下文的副本
4933	-----      Active  Directory命名上下文的副本的同步已结束
4934	-----      已复制Active  Directory对象的属性
4935	-----      复制失败开始
4936	-----      复制失败结束
4937	-----      从副本中删除了一个延迟对象
4944	-----      Windows防火墙启动时，以下策略处于活动状态
4945	-----      Windows防火墙启动时列出了规则
4946	-----      已对Windows防火墙例外列表进行了更改。增加了一条规则
4947	-----      已对Windows防火墙例外列表进行了更改。规则被修改了
4948	-----      已对Windows防火墙例外列表进行了更改。规则已删除
4949	-----      Windows防火墙设置已恢复为默认值
4950	-----      Windows防火墙设置已更改
4951	-----      规则已被忽略，因为Windows防火墙无法识别其主要版本号
4952	-----      已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号
4953	-----      Windows防火墙已忽略规则，因为它无法解析规则
4954	-----      Windows防火墙组策略设置已更改。已应用新设置
4956	-----      Windows防火墙已更改活动配置文件
4957	-----      Windows防火墙未应用以下规则
4958	-----      Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目
4960	-----      IPsec丢弃了未通过完整性检查的入站数据包
4961	-----      IPsec丢弃了重放检查失败的入站数据包
4962	-----      IPsec丢弃了重放检查失败的入站数据包
4963	-----      IPsec丢弃了应该受到保护的入站明文数据包
4964	-----      特殊组已分配给新登录
4965	-----      IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。
4976	-----      在主模式协商期间，IPsec收到无效的协商数据包。
4977	-----      在快速模式协商期间，IPsec收到无效的协商数据包。
4978	-----      在扩展模式协商期间，IPsec收到无效的协商数据包。
4979	-----      建立了IPsec主模式和扩展模式安全关联。
4980	-----      建立了IPsec主模式和扩展模式安全关联
4981	-----      建立了IPsec主模式和扩展模式安全关联
4982	-----      建立了IPsec主模式和扩展模式安全关联
4983	-----      IPsec扩展模式协商失败
4984	-----      IPsec扩展模式协商失败
4985	-----      交易状态已发生变化
5024	-----      Windows防火墙服务已成功启动
5025	-----      Windows防火墙服务已停止
5027	-----      Windows防火墙服务无法从本地存储中检索安全策略
5028	-----      Windows防火墙服务无法解析新的安全策略。
5029	-----      Windows防火墙服务无法初始化驱动程序
5030	-----      Windows防火墙服务无法启动
5031	-----      Windows防火墙服务阻止应用程序接受网络上的传入连接。
5032	-----      Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
5033	-----      Windows防火墙驱动程序已成功启动
5034	-----      Windows防火墙驱动程序已停止
5035	-----      Windows防火墙驱动程序无法启动
5037	-----      Windows防火墙驱动程序检测到严重的运行时错 终止
5038	-----      代码完整性确定文件的图像哈希无效
5039	-----      注册表项已虚拟化。
5040	-----      已对IPsec设置进行了更改。添加了身份验证集。
5041	-----      已对IPsec设置进行了更改。身份验证集已修改
5042	-----      已对IPsec设置进行了更改。身份验证集已删除
5043	-----      已对IPsec设置进行了更改。添加了连接安全规则
5044	-----      已对IPsec设置进行了更改。连接安全规则已修改
5045	-----      已对IPsec设置进行了更改。连接安全规则已删除
5046	-----      已对IPsec设置进行了更改。添加了加密集
5047	-----      已对IPsec设置进行了更改。加密集已被修改
5048	-----      已对IPsec设置进行了更改。加密集已删除
5049	-----      IPsec安全关联已删除
5050	-----      尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE
5051	-----      文件已虚拟化
5056	-----      进行了密码自检
5057	-----      加密原语操作失败
5058	-----      密钥文件操作
5059	-----      密钥迁移操作
5060	-----      验证操作失败
5061	-----      加密操作
5062	-----      进行了内核模式加密自检
5063	-----      尝试了加密提供程序操作
5064	-----      尝试了加密上下文操作
5065	-----      尝试了加密上下文修改
5066	-----      尝试了加密功能操作
5067	-----      尝试了加密功能修改
5068	-----      尝试了加密函数提供程序操作
5069	-----      尝试了加密函数属性操作
5070	-----      尝试了加密函数属性操作
5071	-----      Microsoft密钥分发服务拒绝密钥访问
5120	-----      OCSP响应程序服务已启动
5121	-----      OCSP响应程序服务已停止
5122	-----      OCSP响应程序服务中的配置条目已更改
5123	-----      OCSP响应程序服务中的配置条目已更改
5124	-----      在OCSP  Responder Service上更新了安全设置
5125	-----      请求已提交给OCSP  Responder Service
5126	-----      签名证书由OCSP  Responder Service自动更新
5127	-----      OCSP吊销提供商成功更新了吊销信息
5136	-----      目录服务对象已修改
5137	-----      已创建目录服务对象
5138	-----      目录服务对象已取消删除
5139	-----      已移动目录服务对象
5140	-----      访问了网络共享对象
5141	-----      目录服务对象已删除
5142	-----      添加了网络共享对象。
5143	-----      网络共享对象已被修改
5144	-----      网络共享对象已删除。
5145	-----      检查网络共享对象以查看是否可以向客户端授予所需的访问权限
5146	-----      Windows筛选平台已阻止数据包
5147	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
5148	-----      Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
5149	-----      DoS攻击已经消退，正常处理正在恢复。
5150	-----      Windows筛选平台已阻止数据包。
5151	-----      限制性更强的Windows筛选平台筛选器阻止了数据包。
5152	-----      Windows筛选平台阻止了数据包
5153	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
5154	-----      Windows过滤平台允许应用程序或服务在端口上侦听传入连接
5155	-----      Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
5156	-----      Windows筛选平台允许连接
5157	-----      Windows筛选平台已阻止连接
5158	-----      Windows筛选平台允许绑定到本地端口
5159	-----      Windows筛选平台已阻止绑定到本地端口
5168	-----      SMB  / SMB2的Spn检查失败。
5169	-----      目录服务对象已修改
5170	-----      在后台清理任务期间修改了目录服务对象
5376	-----      已备份凭据管理器凭据
5377	-----      Credential  Manager凭据已从备份还原
5378	-----      策略不允许请求的凭据委派
5440	-----      Windows筛选平台基本筛选引擎启动时出现以下callout
5441	-----      Windows筛选平台基本筛选引擎启动时存在以下筛选器
5442	-----      Windows筛选平台基本筛选引擎启动时，存在以下提供程序
5443	-----      Windows筛选平台基本筛选引擎启动时，存在以下提供程序上下文
5444	-----      Windows筛选平台基本筛选引擎启动时，存在以下子层
5446	-----      Windows筛选平台标注已更改
5447	-----      Windows筛选平台筛选器已更改
5448	-----      Windows筛选平台提供程序已更改
5449	-----      Windows筛选平台提供程序上下文已更改
5450	-----      Windows筛选平台子层已更改
5451	-----      建立了IPsec快速模式安全关联
5452	-----      IPsec快速模式安全关联已结束
5453	-----      与远程计算机的IPsec协商失败，因为未启动IKE和AuthIP  IPsec密钥模块（IKEEXT）服务
5456	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略
5457	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略
5458	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略的本地缓存副本
5459	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略的本地缓存副本
5460	-----      PAStore引擎在计算机上应用了本地注册表存储IPsec策略
5461	-----      PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
5462	-----      PAStore引擎无法在计算机上应用某些活动IPsec策略规则
5463	-----      PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
5464	-----      PAStore引擎轮询活动IPsec策略的更改，检测到更改并将其应用于IPsec服务
5465	-----      PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
5466	-----      PAStore引擎轮询Active  Directory IPsec策略的更改，确定无法访问Active Directory，并将使用Active Directory
IPsec策略的缓存副本
5467	-----      PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，并且未找到对策略的更改
5468	-----      PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，找到策略更改并应用这些更改
5471	-----      PAStore引擎在计算机上加载了本地存储IPsec策略
5472	-----      PAStore引擎无法在计算机上加载本地存储IPsec策略
5473	-----      PAStore引擎在计算机上加载了目录存储IPsec策略
5474	-----      PAStore引擎无法在计算机上加载目录存储IPsec策略
5477	-----      PAStore引擎无法添加快速模式过滤器
5478	-----      IPsec服务已成功启动
5479	-----      IPsec服务已成功关闭
5480	-----      IPsec服务无法获取计算机上的完整网络接口列表
5483	-----      IPsec服务无法初始化RPC服务器。无法启动IPsec服务
5484	-----      IPsec服务遇到严重故障并已关闭
5485	-----      IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
5632	-----      已请求对无线网络进行身份验证
5633	-----      已请求对有线网络进行身份验证
5712	-----      尝试了远程过程调用（RPC）
5888	-----      COM +目录中的对象已被修改
5889	-----      从COM +目录中删除了一个对象
5890	-----      一个对象已添加到COM +目录中
6144	-----      组策略对象中的安全策略已成功应用
6145	-----      处理组策略对象中的安全策略时发生一个或多个错误
6272	-----      网络策略服务器授予用户访问权限
6273	-----      网络策略服务器拒绝访问用户
6274	-----      网络策略服务器放弃了对用户的请求
6275	-----      网络策略服务器放弃了用户的记帐请求
6276	-----      网络策略服务器隔离了用户
6277	-----      网络策略服务器授予用户访问权限，但由于主机未满足定义的健康策略而将其置于试用期
6278	-----      网络策略服务器授予用户完全访问权限，因为主机符合定义的健康策略
6279	-----      由于重复失败的身份验证尝试，网络策略服务器锁定了用户帐户
6280	-----      网络策略服务器解锁了用户帐户
6281	-----      代码完整性确定图像文件的页面哈希值无效...
6400	-----      BranchCache：在发现内容可用性时收到格式错误的响应。
6401	-----      BranchCache：从对等方收到无效数据。数据被丢弃。
6402	-----      BranchCache：提供数据的托管缓存的消息格式不正确。
6403	-----      BranchCache：托管缓存发送了对客户端消息的错误格式化响应以提供数据。
6404	-----      BranchCache：无法使用配置的SSL证书对托管缓存进行身份验证。
6405	-----      BranchCache：发生了事件ID％1的％2个实例。
6406	-----      ％1注册到Windows防火墙以控制以下过滤：
6408	-----      已注册的产品％1失败，Windows防火墙现在正在控制％2的过滤。
6409	-----      BranchCache：无法解析服务连接点对象
6410	-----      代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
6416	-----      系统识别出新的外部设备。
6417	-----      FIPS模式加密自检成功
6418	-----      FIPS模式加密自检失败
6419	-----      发出了禁用设备的请求
6420	-----      设备已禁用
6421	-----      已发出请求以启用设备
6422	-----      设备已启用
6423	-----      系统策略禁止安装此设备
6424	-----      在事先被政策禁止之后，允许安装此设备
8191	-----      最高系统定义的审计消息值
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838