完整性监控事件描述

ID	严重性	事件	注释
8000	信息	已创建完整基线	已请求客户端生成基线或完整性监控规则的数量从 0 变为 n（导致生成基线）时创建。此事件包含扫描时间（毫秒）和已编录实体数的相关信息。
8001	信息	已创建部分基线	客户端的安全配置中已更改一个或多个完整性监控规则时创建。此事件包含扫描时间（毫秒）和已编录实体数的相关信息。
8002	信息	已完成更改扫描	请求客户端执行完整或部分按需扫描时创建。此事件包含扫描时间（毫秒）和已编录更改次数的相关信息。（正在进行的针对文件系统驱动程序或通知的更改扫描不会生成 8002 事件。）
8003	错误	完整性监控规则中存在未知环境变量	当规则使用 ${env.EnvironmentVar} 且 "EnvironmentVar" 为未知环境变量时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称以及未知环境变量的名称。
8004	错误	完整性监控规则中存在错误的基准	当规则包含的基本目录或密钥无效时创建。例如，指定包含基准 "c:\foo\d:\bar" 的 FileSet 将生成此事件，或者产生错误值的环境变量替换会导致值无效。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称以及无效的基准值。
8005	错误	完整性监控规则中存在未知实体	完整性监控规则中出现未知实体集时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称以及遇到的未知实体集名称的逗号分隔列表。
8006	错误	完整性监控规则中存在不支持的实体	完整性监控规则中出现已知但不受支持的实体集时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称以及遇到的不受支持的实体集名称的逗号分隔列表。某些实体集类型（如 RegistryKeySet）是特定于平台的。
8007	错误	完整性监控规则中存在未知功能	完整性监控规则中出现未知功能时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称、实体集的类型（例如 FileSet）以及遇到的未知功能名称的逗号分隔列表。有效功能值的示例包括 "whereBaseInOtherSet"、"status" 和 "executable"。
8008	错误	完整性监控规则中存在不支持的功能	完整性监控规则中出现已知但不受支持的功能时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称、实体集的类型（例如 FileSet）以及遇到的不受支持的功能名称的逗号分隔列表。某些功能值（例如 "status"，用于 Windows 服务状态）是特定于平台的。
8009	错误	完整性监控规则中存在未知属性	完整性监控规则中出现未知属性时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称、实体集的类型（例如 FileSet）以及遇到的未知属性名称的逗号分隔列表。有效属性值的示例包括 "created"、"lastModified" 和 "inodeNumber"。
8010	错误	完整性监控规则中存在不支持的属性	完整性监控规则中出现已知但不受支持的属性时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称、实体集的类型（例如 FileSet）以及遇到的不受支持的属性名称的逗号分隔列表。某些属性值（例如 "inodeNumber"）是特定于平台的。
8011	错误	完整性监控规则的实体集中存在未知属性	完整性监控规则中出现未知的实体集 XML 属性时创建。此事件包含存在问题的完整性监控规则的 ID、完整性监控规则的名称、实体集的类型（例如 FileSet）以及遇到的未知实体集属性名称的逗号分隔列表。如果您编写的是 <FileSet dir="c:\foo">，而非 <FileSet base="c:\foo">，将出现此事件
8012	错误	完整性监控规则中存在未知注册表字符串	当规则引用的注册表项不存在时创建。此事件包含存在题的完整性监控规则的 ID、完整性监控规则的名称以及未知注册表字符串的名称。
8013	错误	使用了无效的 WQLSet。缺少命名空间或 WQL 查询。	表示 WQL 查询缺少命名空间，因为完整性规则 XML 的格式不正确。只有在包含使用和监控 WQL 查询的定制完整性规则的高级情形中才会出现。
8014	错误	使用了无效的 WQLSet。使用了未知的提供程序值。
8015	警告	完整性监控规则不适用	可能由多种原因导致，例如平台不匹配、目标目录或文件不存在或者功能不受支持。
8016	警告	已检测到非最优的完整性规则
8050	错误	无法编译正则表达式。使用了无效通配符。