event logのメモ

イベントＩＤ 4624 の見方。4625 も同じと思われる。

・ログオンタイプ
　　２：対話型
　　３：ネットワーク
　　４：バッチ
　　５：サービス
　　７：ロック解除
　　１０：リモートデスクトップ
　　１１：キャッシュでログオン（ドメイン認証していない）

・新しいログオン
　　ログオンしたアカウントの情報

・ネットワーク情報
　　ログオン元のホスト情報

・ソースネットワークアドレス
　　ログオン元のＩＰアドレス

アカウントが正常にログオンしました。

サブジェクト:
    セキュリティ ID:        NULL SID
    アカウント名:        -
    アカウント ドメイン:        -
    ログオン ID:        0x0

ログオン情報:
    ログオン タイプ:        3
    制限付き管理モード:    -
    仮想アカウント:        いいえ
    昇格されたトークン:        いいえ

偽装レベル:        偽装

新しいログオン:
    セキュリティ ID:        S-1-5-21-3590118637-3649102893-3870174881-1002
    アカウント名:        test
    アカウント ドメイン:        STELLA-PC
    ログオン ID:        0x1D496F
    リンクされたログオン ID:        0x0
    ネットワーク アカウント名:    -
    ネットワーク アカウント ドメイン:    -
    ログオン GUID:        {00000000-0000-0000-0000-000000000000}

プロセス情報:
    プロセス ID:        0x0
    プロセス名:        -

ネットワーク情報:
    ワークステーション名:    DESKTOP-05C7F53
    ソース ネットワーク アドレス:    10.1.2.105
    ソース ポート:        0

詳細な認証情報:
    ログオン プロセス:        NtLmSsp 
    認証パッケージ:    NTLM
    移行されたサービス:    -
    パッケージ名 (NTLM のみ):    NTLM V2
    キーの長さ:        128