event log
event logのメモ
イベントID 4624 の見方。4625 も同じと思われる。
・ログオンタイプ
2:対話型
3:ネットワーク
4:バッチ
5:サービス
7:ロック解除
10:リモートデスクトップ
11:キャッシュでログオン(ドメイン認証していない)
・新しいログオン
ログオンしたアカウントの情報
・ネットワーク情報
ログオン元のホスト情報
・ソースネットワークアドレス
ログオン元のIPアドレス
アカウントが正常にログオンしました。
サブジェクト:
セキュリティ ID: NULL SID
アカウント名: -
アカウント ドメイン: -
ログオン ID: 0x0ログオン情報:
ログオン タイプ: 3
制限付き管理モード: -
仮想アカウント: いいえ
昇格されたトークン: いいえ偽装レベル: 偽装
新しいログオン:
セキュリティ ID: S-1-5-21-3590118637-3649102893-3870174881-1002
アカウント名: test
アカウント ドメイン: STELLA-PC
ログオン ID: 0x1D496F
リンクされたログオン ID: 0x0
ネットワーク アカウント名: -
ネットワーク アカウント ドメイン: -
ログオン GUID: {00000000-0000-0000-0000-000000000000}プロセス情報:
プロセス ID: 0x0
プロセス名: -ネットワーク情報:
ワークステーション名: DESKTOP-05C7F53
ソース ネットワーク アドレス: 10.1.2.105
ソース ポート: 0詳細な認証情報:
ログオン プロセス: NtLmSsp
認証パッケージ: NTLM
移行されたサービス: -
パッケージ名 (NTLM のみ): NTLM V2
キーの長さ: 128