이벤트 ID 설명

528 컴퓨터에 성공적으로 로그온 했습니다.

529 알 수 없는 사용자 이름을 사용하거나 잘못된 암호를 사용하여 로그온을 시도했습니다.

530 사용자 계정이 허용된 시간을 초과하여 로그온을 시도했습니다.

531 비활성화된 계정을 사용하여 로그온을 시도했습니다.

532 사용 기간이 만료된 계정을 사용하여 로그온을 시도했습니다.

533 이 컴퓨터에서 로그온이 허용되지 않는 사용자입니다.

534 사용자가 네트워크, 대화형, 배치, 서비스 또는 원격 대화형 등 허용되지 않은 로그온 유형을 사용하여 로그온하려고 시도했습니다.

535 지정된 계정의 암호 사용 기간이 만료되었습니다.

536 Net Logon 서비스가 활성 상태에 있지 않습니다.

537 다른 이유 때문에 로그온 시도가 실패했습니다.

538 사용자가 로그오프했습니다.

539 로그온하려고 할 때 계정이 잠겨 있었습니다. 이 이벤트는 암호 공격이 실패하여 계정이 잠겼음을 나타냅니다.

540 네트워크 로그온 성공. 이 이벤트는 원격 사용자가 네트워크에서 서버의 로컬 리소스에 성공적으로 연결되어 네트워크 사용자를 위한 토큰이 생성되었음을 나타냅니다.

682 연결이 끊긴 터미널 서비스 세션에 사용자가 다시 연결되었습니다. 이 이벤트는 이전의 터미널 서비스 세션에 연결되었음을 나타냅니다.

683 사용자가 로그오프 하지 않고 터미널 서비스 세션과의 연결을 끊었습니다. 이 이벤트는 사용자가 네트워크를 통해 터미널 서비스 세션에 연결되어 있을 때 생성됩니다. 이 이벤트는 터미널 서버에 나타납니다.

공격자가 로컬 계정의 사용자 이름과 암호 조합을 추측하려 시도: 이벤트 ID 529, 534

하지만 이 이벤트는 사용자가 암호를 잊어버리거나 네트워크 환경을 통해 네트워크 탐색을 시작한 경우에도 발생할 수 있습니다.

계정의 잘못된 사용: 이벤트 ID 530, 531, 532, 533

허가되지 않은 시간이나 날짜에 로그온 시도: 이벤트 ID 530

유효기간이 다 되었거나 암호 만기: 이벤트 ID 532, 535

로그온 제한된 워크스테이션에서 로그온 시도: 이벤트 ID 533

계정 잠김: 이벤트 ID 539

터미널 서비스 공격: 이벤트 ID 682, 683

이벤트 ID 설명

672 AS(인증 서비스) 티켓이 성공적으로 발행되어 유효성을 검사했습니다.

673 TGS(Ticket Granting Service) 티켓이 발급되었습니다.

674 보안 사용자가 AS 티켓 또는 TGS 티켓을 갱신했습니다.

675 사전 인증이 실패했습니다.

676 인증 티켓 요청이 실패했습니다.

677 TGS 티켓이 발급되지 않았습니다.

678 계정이 도메인 계정에 성공적으로 매핑되었습니다.

680 성공적인 로그온 시도에 사용된 계정을 식별합니다. 이 이벤트는 계정을 인증하는 데 사용된 인증 패키지도 나타냅니다.

681 도메인 계정 로그온이 시도되었습니다.

682 연결이 끊긴 터미널 서비스 세션에 사용자가 다시 연결되었습니다.

683 사용자가 로그오프하지 않고 터미널 서비스 세션과 연결을 끊었습니다.

Windows NTLM 인증이 실패할 때는 이벤트 ID 680, 681을 기록합니다. 실패한 이벤트 ID 680 또는 681이 기록되었다는 것은 로그온 프로세스에 참여한 컴퓨터 중 적어도 한 대는 Windows 2000 이전 운영체제를 사용하는 컴퓨터이거나 트러스트 관계를 맺지 않은 컴퓨터라는 것을 의미합니다.

다음은 NTLM 인증 실패에 대한 이벤트 ID 681에 있는 오류코드입니다.

오류 코드 로그온 실패 이유

3221225572 사용자 이름이 존재하지 않습니다.

3221225578 사용자 이름은 존재하나 암호가 틀립니다.

3221226036 사용자 계정이 잠겼습니다.

3221225586 비활성화된 계정입니다.

3221225583 로그온 시간의 제한으로 로그온 실패

3221225584 워크스테이션 제한으로 로그온 실패

3221225875 사용자 계정이 만료되었습니다.

3221225585 사용자 암호가 만료되었습니다.