| ID | 严重性 | 事件 | 注意 |
| 特殊事件 | |||
| 0 | 错误 | 客户端/设备事件未知 | |
| 驱动程序相关事件 | |||
| 1000 | 错误 | 无法打开引擎 | |
| 1001 | 错误 | 引擎命令不成功 | |
| 1002 | 警告 | 引擎列表对象错误 | |
| 1003 | 警告 | 移除对象不成功 | |
| 1004 | 警告 | 引擎返回了错误的规则数据 | 已弃用。 |
| 1005 | 警告 | 正在升级驱动程序 | |
| 1006 | 警告 | 驱动程序升级需要重新启动 | |
| 1007 | 警告 | 驱动程序升级成功 | |
| 配置相关事件 | |||
| 2000 | 信息 | 策略已发送 | |
| 2001 | 警告 | 防火墙规则分配无效 | |
| 2002 | 警告 | 防火墙状态配置无效 | |
| 2003 | 错误 | 保存安全配置不成功 | |
| 2004 | 警告 | 接口分配无效 | |
| 2005 | 警告 | 接口分配无效 | |
| 2006 | 警告 | 操作无效 | |
| 2007 | 警告 | 数据包流向无效 | |
| 2008 | 警告 | 规则优先级无效 | |
| 2009 | 警告 | IP 格式无法识别 | |
| 2010 | 警告 | 源 IP 列表无效 | |
| 2011 | 警告 | 源端口列表无效 | |
| 2012 | 警告 | 目标 IP 列表无效 | |
| 2013 | 警告 | 目标端口列表无效 | |
| 2014 | 警告 | 时间表无效 | |
| 2015 | 警告 | 源 MAC 列表无效 | |
| 2016 | 警告 | 目标 MAC 列表无效 | |
| 2017 | 警告 | 时间表长度无效 | |
| 2018 | 警告 | 时间表字符串无效 | |
| 2019 | 警告 | 入侵防御规则的 XML 规则无效 | |
| 2020 | 警告 | 找不到对象 | |
| 2021 | 警告 | 找不到对象 | |
| 2022 | 警告 | 规则分配无效 | |
| 2050 | 警告 | 找不到防火墙规则 | |
| 2075 | 警告 | 找不到网络通信流 | |
| 2076 | 警告 | 找不到入侵防御规则 | |
| 2077 | 警告 | 找不到特征码列表 | |
| 2078 | 警告 | 入侵防御规则转换错误 | |
| 2080 | 警告 | 找不到条件防火墙规则 | |
| 2081 | 警告 | 找不到条件入侵防御规则 | |
| 2082 | 警告 | 入侵防御规则为空 | |
| 2083 | 警告 | 入侵防御规则的 XML 规则转换错误 | |
| 2085 | 错误 | 安全配置错误 | |
| 2086 | 警告 | IP 匹配类型不受支持 | |
| 2087 | 警告 | MAC 匹配类型不受支持 | |
| 2088 | 警告 | SSL 凭证无效 | |
| 2089 | 警告 | 缺少 SSL 凭证 | |
| 硬件相关事件 | |||
| 3000 | 警告 | MAC 地址无效 | |
| 3001 | 警告 | 获取事件数据不成功 | |
| 3002 | 警告 | 接口太多 | |
| 3003 | 错误 | 无法运行外部命令 | |
| 3004 | 错误 | 无法读取外部命令输出 | |
| 3005 | 错误 | 操作系统调用错误 | |
| 3006 | 错误 | 操作系统调用错误 | |
| 3007 | 错误 | 文件错误 | |
| 3008 | 错误 | 特定于计算机的密钥错误 | |
| 3009 | 错误 | 异常的客户端/设备已关闭 | |
| 3010 | 错误 | 客户端/设备数据库错误 | |
| 3300 | 警告 | 获取事件数据不成功 | Linux 错误。 |
| 3302 | 警告 | 获取安全配置不成功 | Linux 错误。 |
| 3303 | 错误 | 文件映射错误 | Linux 错误。文件类型错误。 |
| 3600 | 错误 | 获取 Windows 系统目录不成功 | |
| 3601 | 警告 | 读取本地数据错误 | Windows 错误。 |
| 3602 | 警告 | Windows 服务错误 | Windows 错误。 |
| 3603 | 错误 | 文件映射错误 | Windows 错误。文件大小错误。 |
| 3700 | 警告 | 检测到异常的重新启动 | Windows 错误。 |
| 3701 | 信息 | 系统上次启动时间更改 | Windows 错误。 |
| 通信相关事件 | |||
| 4000 | 警告 | 协议标头无效 | 内容长度超出范围。 |
| 4001 | 警告 | 协议标头无效 | 内容长度丢失。 |
| 4002 | 信息 | 已启动命令会话 | |
| 4003 | 信息 | 已启动配置会话 | |
| 4004 | 信息 | 已收到命令 | |
| 4011 | 警告 | 无法联系管理中心 | |
| 4012 | 警告 | 波动信号不成功 | |
| 客户端相关事件 | |||
| 5000 | 信息 | 已启动客户端/设备 | |
| 5001 | 错误 | 线程异常 | |
| 5002 | 错误 | 操作已超时 | |
| 5003 | 信息 | 已停止客户端/设备 | |
| 5004 | 警告 | 时钟已被更改 | |
| 5005 | 信息 | 已启动客户端/设备审计 | |
| 5006 | 信息 | 已停止客户端/设备审计 | |
| 5007 | 信息 | 设备保护更改 | |
| 5008 | 警告 | 过滤器驱动程序连接不成功 | |
| 5009 | 信息 | 过滤器驱动程序连接成功 | |
| 5010 | 警告 | 过滤器驱动程序信息事件 | |
| 5100 | 信息 | 已启动防护模块部署 | |
| 5101 | 信息 | 防护模块部署成功 | |
| 5102 | 错误 | 防护模块部署失败 | |
| 5103 | 信息 | 防护模块下载成功 | |
| 日志记录相关事件 | |||
| 6000 | 信息 | 日志设备打开错误 | |
| 6001 | 信息 | 日志文件打开错误 | |
| 6002 | 信息 | 日志文件写入错误 | |
| 6003 | 信息 | 日志目录创建错误 | |
| 6004 | 信息 | 日志文件查询错误 | |
| 6005 | 信息 | 日志目录打开错误 | |
| 6006 | 信息 | 日志文件删除错误 | |
| 6007 | 信息 | 日志文件更名错误 | |
| 6008 | 信息 | 日志读取错误 | |
| 6009 | 警告 | 由于空间不足,已删除日志文件 | |
| 6010 | 警告 | 事件已被抑制 | |
| 6011 | 警告 | 已截短事件 | |
| 6012 | 错误 | 磁盘空间不足 | |
| 6013 | 警告 | 客户端配置数据包太大 | |
| 攻击/扫描/探测相关事件 | |||
| 7000 | 警告 | 计算机操作系统指纹探测 | |
| 7001 | 警告 | 网络或端口扫描 | |
| 7002 | 警告 | TCP Null 扫描 | |
| 7003 | 警告 | TCP SYNFIN 扫描 | |
| 7004 | 警告 | TCP Xmas 扫描 | |
| 完整性监控事件 | |||
| 8000 | 信息 | 已创建完整基线 | 已请求客户端生成基线或完整性监控规则的数量从 0 变为 n(导致生成基线)时创建。此事件包含有关扫描所花费的时间(毫秒)和已编录实体数量的信息。 |
| 8001 | 信息 | 已创建部分基线 | 客户端的安全配置中已更改一个或多个完整性监控规则时创建。此事件包含有关扫描所花费的时间(毫秒)和已编录实体数量的信息。 |
| 8002 | 信息 | 已完成更改扫描 | 请求客户端执行完整或部分按需扫描时创建。此事件包含有关扫描所花费的时间(毫秒)和已编录更改数量的信息。(基于文件系统驱动程序或通知的持续更改扫描不会生成 8002 事件。) |
| 8003 | 错误 | 完整性监控规则中存在未知环境变量 | 规则使用 ${env.EnvironmentVar} 且 "EnvironmentVar" 是未知环境变量时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称以及未知环境变量的名称。 |
| 8004 | 错误 | 完整性监控规则中存在错误的基准 | 规则包含无效的基本目录/项时创建。例如,使用基本目录 "c:\foo\d:\bar" 指定 FileSet 会生成此事件,或者无效值可能是由环境变量替换生成错误值导致的结果。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称以及错误基本值。 |
| 8005 | 错误 | 完整性监控规则中存在未知实体 | 完整性监控规则中出现未知实体集时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称以及遇到的未知实体集名称的逗号分隔列表。 |
| 8006 | 错误 | 完整性监控规则中存在不支持的实体 | 完整性监控规则中出现已知但不支持的实体集时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称以及出现的不支持的实体集名称的逗号分隔列表。某些实体集类型(如 RegistryKeySet)是特定于平台的。 |
| 8007 | 错误 | 完整性监控规则中存在未知功能 | 完整性监控规则中出现未知的功能时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称、实体集类型(例如 FileSet)以及遇到的未知功能名称的逗号分隔列表。有效功能值的示例包括 "whereBaseInOtherSet"、"status" 和 "executable"。 |
| 8008 | 错误 | 完整性监控规则中存在不支持的功能 | 完整性监控规则中出现已知但不支持的功能时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称、实体集类型(例如 FileSet)以及遇到的但不受支持的功能名称的逗号分隔列表。某些功能值(例如 "status",用于 Windows 服务状态)是特定于平台的。 |
| 8009 | 错误 | 完整性监控规则中存在未知属性 | 完整性监控规则中出现未知属性时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称、实体集类型(例如 FileSet)以及遇到的未知属性名称的逗号分隔列表。有效功能值的示例包括 "created"、"lastModified" 和 "inodeNumber"。 |
| 8010 | 错误 | 完整性监控规则中存在不支持的属性 | 完整性监控规则中出现已知但不支持的属性时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称、实体集类型(例如 FileSet)以及遇到的但不受支持的属性名称的逗号分隔列表。某些属性值(如 "inodeNumber")是特定于平台的。 |
| 8011 | 错误 | 完整性监控规则的实体集中存在未知属性 | 完整性监控规则中出现未知的实体集 XML 属性时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称、实体集类型(例如 FileSet)以及遇到的未知实体集属性名称的逗号分隔列表。如果您编写的是 <FileSet dir="c:\foo">,而非 <FileSet base="c:\foo">,将出现此事件 |
| 8012 | 错误 | 完整性监控规则中存在未知注册表字符串 | 规则引用不存在的注册表项时创建。此事件包含有问题的完整性监控规则的 ID、完整性监控规则的名称以及未知注册表字符串的名称。 |
| 8013 | 错误 | 使用了无效的 WQLSet。缺少命名空间或 WQL 查询。 | 表示由于完整性规则 XML 的格式不正确,因此 WQL 查询缺少命名空间。仅在定制完整性规则使用和监控 WQL 查询的高级情况下,才会出现此错误。 |
| 8014 | 错误 | 使用了无效的 WQLSet。使用了未知的提供程序值。 | |
| 8015 | 警告 | 完整性监控规则 | 这可能是由多种原因造成的,如平台不匹配、目标目录或文件不存在、功能不受支持等。 |
| 8050 | 错误 | 无法编译正则表达式。使用了无效通配符。 | |
| 日志审查事件 | |||
| 8100 | 错误 | 日志审查引擎错误 | |
| 8101 | 警告 | 日志审查引擎警告 | |
| 8102 | 信息 | 日志审查引擎已初始化 | |
| 防恶意软件事件 | |||
| 9001 | 信息 | 防恶意软件扫描已启动 | |
| 9002 | 信息 | 防恶意软件扫描已完成 | |
| 9003 | 信息 | 防恶意软件扫描异常终止 | |
| 9004 | 信息 | 防恶意软件扫描已暂停 | |
| 9005 | 信息 | 防恶意软件扫描已恢复 | |
| 9006 | 信息 | 防恶意软件扫描已取消 | |
| 9007 | 警告 | 取消防恶意软件扫描不成功 | |
| 9008 | 警告 | 启动防恶意软件扫描不成功 | |
| 9009 | 警告 | 防恶意软件扫描已停止 | |
| 9010 | 错误 | 防恶意软件隔离不成功 (已超出 VM 限制) | |
| 9011 | 错误 | 防恶意软件隔离不成功 (已超出设备限制) | |
| 9012 | 警告 | 已断开与用于云安全扫描的云安全智能防护服务器的连接 | |
| 9013 | 信息 | 已连接到用于云安全扫描的云安全智能防护服务器 | |
| 9014 | 警告 | 防恶意软件保护需要重新启动计算机 | |
| 下载安全更新事件 | |||
| 9050 | 信息 | 在客户端上更新防恶意软件组件成功 | |
| 9051 | 错误 | 在客户端上更新防恶意软件组件失败 | |
| 9100 | 信息 | 安全更新成功 | |
| 9101 | 错误 | 安全更新不成功 | |
| 9102 | 错误 | 安全更新不成功 | 错误消息中记录的具体信息。 |
| 中继事件 | |||
| 9103 | 信息 | 已禁用中继 Web 服务器 | |
| 9104 | 信息 | 已启用中继 Web 服务器 | |
| 9105 | 错误 | 启用中继 Web 服务器不成功 | |
| 9106 | 错误 | 禁用中继 Web 服务器不成功 | |
| 9107 | 错误 | 中继 Web 服务器不成功 | |
| 9108 | 信息 | 无法连接到更新源 | |
| 9109 | 错误 | 组件更新不成功 | |
| 9110 | 错误 | 防恶意软件使用授权已过期 | |
| 9111 | 信息 | 安全更新还原成功 | |
| 9112 | 错误 | 安全更新还原不成功 | |
| 9113 | 信息 | 中继已复制所有软件包 | |
| 9114 | 错误 | 中继无法复制所有软件包 | |
| 完整性扫描状态事件 | |||
| 9201 | 信息 | 已启动完整性扫描 | |
| 9203 | 信息 | 完整性扫描异常终止 | |
| 9204 | 信息 | 完整性扫描已暂停 | |
| 9205 | 信息 | 已恢复完整性扫描 | |
| 9208 | 警告 | 无法启动完整性扫描 | |
| 9209 | 警告 | 已停止完整性扫描 | |
| 云安全智能防护服务器状态事件 | |||
| 9300 | 警告 | 已断开与用于 Web 信誉的云安全智能防护服务器的连接 | |
| 9301 | 信息 | 已连接到用于 Web 信誉的云安全智能防护服务器 | |