597：数据保护主密钥已从恢复服务器恢复。

　　598：审核过的数据已受保护。

　　599：审核过的数据未受保护。

　　600：已分配给进程主令牌。

　　601：用户试图安装服务。

　　602：已创建计划程序任务。

　　九、审核系统事件

　　下面显示了由"审核系统事件"安全模板设置所生成的系统事件。

　　512：Windows 正在启动。

　　513：Windows 正在关机。

　　514：本地安全机制机构已加载身份验证数据包。

　　515：受信任的登录过程已经在本地安全机构注册。

　　516：用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。

　　517：审核日志已清除。

　　518：安全帐户管理器已加载通知数据包。

　　519：进程正在使用无效的本地过程调用 (LPC) 端口，试图伪装客户端并向客户端地址空间答复、读取或写入。

　　520：系统时间已更改。

　　注意：

　　在正常情况下，该审核出现两次。