Wichtige Systemereignisse
Das Sicherheitsprotokoll von Windows 2000 identifiziert eine Vielzahl größerer Systemereignisse, mit deren Hilfe man Angriffe durch physische Zugriffsversuche aufdecken und einen Missbrauch der Administratorberechtigung erkennen kann (eine Liste der wichtigen Sicherheitsereignisse ist in Tabelle 2 dargestellt). Jedes Löschen des Sicherheitsprotokolls protokolliert Windows 2000 in der Ereignis-ID 517 (Das Sicherheitsprotokoll wurde gelöscht), ohne Rücksicht auf die Konfiguration der Überwachungsrichtlinie des Computers. Mit diesem Prozess lassen sich Personen identifizieren, die das Sicherheitsprotokoll gelöscht haben.

Ist Audit System Events (Systemereignisse überwachen) aktiviert, protokolliert Windows 2000 beim Neustart des Systems die Ereignis-ID 512 (Windows wird gestartet). Neustarts sind wichtige Sicherheitshinweise, denn Windows-2000-Systeme sind sehr anfällig gegenüber Angriffen mit physischem Zugriff, während das Betriebssystem heruntergefahren ist. Hier sollte man die Ereignis-ID 512 mit anderen Informationen vergleichen, zum Beispiel mit den Protokollen, wer wann den Serverraum betreten und wieder verlassen hat, um herauszufinden, wer zu dem Zeitpunkt anwesend war, als der Server neu gestartet wurde. Mit Aktivieren von Audit Policy Changes (Richtlinienänderungen überwachen), protokolliert Windows 2000 die Ereignis-ID 612 (Eine Überwachungsrichtlinie wurde geändert), sobald eine Änderung der Überwachungsrichtlinie des Computers vorliegt. Die Ereignis-ID 612 zeichnet genau auf, welche Kategorien aktiviert und gesperrt waren.