Идентификатор события 300 — служба Windows Hello создана успешно Event ID 300 — Windows Hello successfully created

Область применения Applies to

Это событие создается при успешном создании службы Windows Hello для бизнеса и ее успешной регистрации в Azure Active Directory (Azure AD). This event is created when Windows Hello for Business is successfully created and registered with Azure Active Directory (Azure AD). Приложения или службы могут выполнять действия по этому событию. Applications or services can trigger actions on this event. Например, служба подготовки сертификатов может ожидать это событие и выполнять запрос сертификата. For example, a certificate provisioning service can listen to this event and trigger a certificate request.

Сведения о событии Event details

Продукт: Product:	Операционная система Windows 10 Windows 10 operating system
Журнал: Log:	Просмотр событий > приложения и журналы служб\Microsoft\Windows\Регистрация устройств пользователя\Администратор Event Viewer > Applications and Service Logs\Microsoft\Windows\User Device Registration\Admin
Идентификатор: ID:	300 300
Источник: Source:	Служба регистрации устройств Microsoft Azure Microsoft Azure Device Registration Service
Версия: Version:	10 10
Сообщение: Message:	Ключ NGC успешно зарегистрирован. The NGC key was successfully registered. Идентификатор ключа: <4476694e-8e3b-4ef8-8487-be21f95e6f07>. Key ID: <4476694e-8e3b-4ef8-8487-be21f95e6f07>. UPN:test@contoso.com. UPN:test@contoso.com. Аттестация: ATT_SOFT. Attestation: ATT_SOFT. Идентификатор клиентского запроса: . Client request ID: . Идентификатор запроса сервера: db2da6bd-3d70-4b9b-b26b-444f669902da. Server request ID: db2da6bd-3d70-4b9b-b26b-444f669902da. Ответ сервера: <"kid":"4476694e-8e3b-4ef8-8487-be21f95e6f07","upn":"test@contoso.com">Server response:

Разрешить Resolve

Это обычное состояние. This is a normal condition. Дополнительные действия не требуются. No further action is required.

Настройки

Выполнение задачи (запуск программы) после выхода из спящего режима или гибернации.

Чтобы запустить какую-либо программу при выходе из гибернации Вам придется воспользоваться планировщиком заданий.
При выходе системы из спящего режима или гибернации Windows 7 записывает событие с номером 300 в один из журналов событий.
Вы можете посмотреть это в оснастке Просмотр событий (Win + R → eventvwr.msc → ОК) открыв: Журналов приложений и служб → Microsoft → Windows → Diagnostics-Performance
Использовав данный факт Вы сможете создать необходимую Вам задачу. Для ее создания выполните указанные ниже действия:

1) В строке поиска меню Пуск введите: план и выберите в найденном Планировщик заданий.
2) В правой панели планировщика щелкните Создать простую задачу.
3) Введите имя задачи и нажмите Далее.
4) На странице Триггер задачи установите переключатель в значение При занесении в журнал указанного события и нажмите кнопку Далее.
5) На странице При записи определенного события в журнал укажите нижеследующие значения для параметров и нажмите кнопку Далее.

Журнал: Microsoft-Windows-Diagnostics-Performance
Источник: Diagnostics-Performance
Код события: 300

6) На странице Действие установите переключатель в значение Запустить программу и нажмите кнопку Далее.
7) На странице Запуск программы укажите путь к Вашей программе и дополнительные параметры, если необходимо.

Например, для установки VPN-подключения введите в поле Программа или сценарий:команду rasdial «имя подключения» login password
вместо «имя подключения» — укажите название Вашего подключения к интернету
вместо login — укажите Ваш логин(имя пользователя) для подключения к интернету
вместо password — укажите Ваш пароль для подключения к интернету

8) Если откроется окно информирующее о том, что Вы включили аргументы в текстовое поле «Программы», то нажмите кнопку Да
9) На странице Сводка нажмите кнопку Готово.
10) Дважды щелкните на созданную Вами задачу в списке, чтобы открыть ее Свойства
11) Перейдите на вкладку Параметры
12) Поставьте флажки напротив:

Немедленно запускать задачу, если пропущен плановый запуск
При сбое выполнения перезапускать через 1 мин.
Количество попыток перезапуска 99.

13) Уберите флажок Останавливать задачу выполняемую дольше .
14) Если у Вас ноутбук, то перейдите на вкладку Условия и снимите флажок Запускать только при питании от электросети
15) Нажмите кнопку ОК для принятия внесенных изменений.

Проверка времени загрузки Windows 7 и 8 встроенными средствами.

Сегодняшняя тема из разряда «Изучаем матчасть»Существует немало различных программ с помощью которых вы можете измерить скорость загрузки системы и некоторые из них даже способны указать причины замедления оной.Вот только всегда ли эти программы отражают действительность?Не уверен.

Между тем в Windows встроен прекрасный инструмент для анализа происходящего с вашей системой.Он называется ЖУРНАЛ СОБЫТИЙ.Для того,чтобы увидеть с какой скоростью загружается или выключается ваша Windows,нажимаем Win+R, вводим команду eventvwr.msc /s Откроется утилита под названием ПРОСМОТР СОБЫТИЙ.В левой её части выбираем ЖУРНАЛЫ ПРИЛОЖЕНИЙ И СЛУЖБ—Microsoft—Windows—Diagnostics-Performance-Работает.

После нажатия на РАБОТАЕТ открывается таблица касающаяся событий загрузки и выключения.Выбираем строчку с кодом 100 и видим время загрузки в миллисекундах (точнее не бывает),то есть надо отделить запятой три последних знака.На скрине видно,что время загрузки составило 84274 ms ,или 84 секунды.А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.

На надпись «Ошибка» внимания не обращаем,в данном случае нам это не важно.

Код времени выключения 200,Возобновление работы из ждущего режима код события 300.

Можно просматривать события вручную, а можно создать фильтр.Для этого в правой части в меню ДЕЙСТВИЯ выберите СОЗДАТЬ НАСТРАИВАЕМОЕ ПРЕДСТАВЛЕНИЕ.В открывшемся диалоговом окне оставьте значение «Любое время» в поле «Дата» и отметьте флажками все опции в поле «Уровень события». Выберите опцию «По журналу», если она еще не выбрана, и раскройте список. В дереве разделов найдите категорию «Журналы приложений и служб — Microsoft — Windows – «Diagnostics-Performance» и поставьте флажок «Работает».В поле «Включение или исключение кодов событий» введите 100 и нажмите «OK»

В диалоговом окне «Сохранить фильтр в настраиваемое представление», введите подходящее имя (например, «Boot Time» — Время загрузки) и нажмите «OK».

Далее нам нужно точно таким же образом создать еще одно настраиваемое представление, но в поле «Включение или исключение кодов событий» ввести на этот раз значения 101-110 и сохранить фильтр, например с именем «Замедление загрузки».

Чтобы выяснить, сколько Windows 7 требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки.

Чтобы выяснить причину замедления загрузки Windows 7, выделите созданный вами фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» . Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.

Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.
Код события 101. Событие 101 возникает, когда приложение загружается дольше обычного. Это часто связано с установкой обновлений. Если замедление загрузки наблюдается эпизодически, ничего страшного в этом нет. Но если какое-то приложение всякий раз загружается слишком долго или время замедления оказывается ненормально большим, тут нужно уже задуматься.
Код события 102. Событие 102 свидетельствует о замедлении инициализации драйвера. Это, опять же, может быть вызвано обновлением, но если ситуация возникает регулярно или замедление оказывается серьезным, стоит установить более свежую версию драйвера. Если таковой не имеется, попробуйте удалить и переустановить драйвер.
Код события 103. Событие 103 возникает при замедлении загрузки служб. Иногда это случается, но если это происходит регулярно, попробуйте изменить тип запуска службы на «Автоматически отложенный запуск» или «Вручную» в консоли «Службы».
Код события 106. Событие 106 свидетельствует о том, что выполнение фоновой операции по оптимизации затянулось. Поскольку оптимизация — операция продолжительная, ничего страшного в этом нет.
Код события 109. Событие 109 возникает при замедлении инициализации устройства. Если это явление редкое, беспокоиться не стоит. Но если инициализация затягивается всякий раз, не забывайте регулярно делать резервное копирование и будьте готовы к замене проблемного устройства.

Понравилась статья? Подпишитесь на канал, чтобы быть в курсе самых интересных материалов

10 критически важных event ID для мониторинга

Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему