Новый участник
Сообщения: 44
Благодарности: 0
|
Профиль
|
Отправить PM
| Цитировать
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: user
Имя учетной записи: user
Домен учетной записи: domen
Код входа: 0x50faa0b5
Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
____________________________________________________
Выход, запрошенный пользователем:
Субъект:
ИД безопасности: user
Имя учетной записи: user
Домен учетной записи: domen
Код входа: 0x50fad76b
Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода
____________________________________________________
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: система
Имя учетной записи: TERMINAL
Домен учетной записи: domen
Код входа: 0x3e7
Тип входа: 10
Новый вход:
ИД безопасности: user
Имя учетной записи: user
Домен учетной записи: domen
Код входа: 0x50fad76b
GUID входа: {9572c327-bd82-8442-5609-f8cec01df1f4}
Сведения о процессе:
Идентификатор процесса: 0x51e4
Имя процесса: C:\Windows\System32\winlogon.exe
Сведения о сети:
Имя рабочей станции: TERMINAL
Сетевой адрес источника: 10.0.21.3
Порт источника: 49697
Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
_____________________________________________________
Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект:
ИД безопасности: система
Имя учетной записи: TERMINALS
Домен учетной записи: domen
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Были использованы учетные данные следующей учетной записи:
Имя учетной записи: user
Домен учетной записи: domen
GUID входа: {9572c327-bd82-8442-5609-f8cec01df1f4}
Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost
Сведения о процессе:
Идентификатор процесса: 0x51e4
Имя процесса: C:\Windows\System32\winlogon.exe
Сведения о сети:
Сетевой адрес: 10.0.21.3
Порт: 49697
Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
