| | | | | | | | |
|
| | Имя протокола | Тип события | Категория | Дата создания | Пользователь | Источник | Описание
|
| | Приложение | Внимание | Нет | 2016-04-10 05:56:15 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-10 13:09:51 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-11 04:34:23 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-11 07:05:49 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-11 13:25:15 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-11 16:05:50 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-11 18:29:36 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-12 05:07:55 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Ошибка | 100 | 2016-04-12 05:12:30 | | Application Error | 1000: Имя сбойного приложения: engine.exe, версия: 0.0.0.0, отметка времени: 0x55dc6ea3 Имя сбойного модуля: MSVCR120.dll, версия: 12.0.21005.1, отметка времени 0x524f83ff Код исключения: 0x40000015 Смещение ошибки: 0x0000000000074a46 Идентификатор сбойного процесса: 0x1788 Время запуска сбойного приложения: 0x01d194692512d933 Путь сбойного приложения: C:\Users\Donik\AppData\Roaming\eth\engine.exe Путь сбойного модуля: C:\Users\Donik\AppData\Roaming\eth\MSVCR120.dll Код отчета: 6416cb63-005c-11e6-a5fc-902b3493c6e1
|
| | Приложение | Ошибка | 100 | 2016-04-12 05:13:49 | | Application Error | 1000: Имя сбойного приложения: engine.exe, версия: 0.0.0.0, отметка времени: 0x55dc6ea3 Имя сбойного модуля: MSVCR120.dll, версия: 12.0.21005.1, отметка времени 0x524f83ff Код исключения: 0x40000015 Смещение ошибки: 0x0000000000074a46 Идентификатор сбойного процесса: 0x1260 Время запуска сбойного приложения: 0x01d1946954c1f7b1 Путь сбойного приложения: C:\Users\Donik\AppData\Roaming\eth\engine.exe Путь сбойного модуля: C:\Users\Donik\AppData\Roaming\eth\MSVCR120.dll Код отчета: 934434db-005c-11e6-a5fc-902b3493c6e1
|
| | Приложение | Ошибка | 100 | 2016-04-12 05:14:11 | | Application Error | 1000: Имя сбойного приложения: engine.exe, версия: 0.0.0.0, отметка времени: 0x55dc6ea3 Имя сбойного модуля: MSVCR120.dll, версия: 12.0.21005.1, отметка времени 0x524f83ff Код исключения: 0x40000015 Смещение ошибки: 0x0000000000074a46 Идентификатор сбойного процесса: 0x1174 Время запуска сбойного приложения: 0x01d1946961dec9b8 Путь сбойного приложения: C:\Users\Donik\AppData\Roaming\eth\engine.exe Путь сбойного модуля: C:\Users\Donik\AppData\Roaming\eth\MSVCR120.dll Код отчета: a05fa74c-005c-11e6-a5fc-902b3493c6e1
|
| | Приложение | Внимание | Нет | 2016-04-12 07:39:27 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-12 09:48:53 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-12 12:28:15 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-12 14:21:33 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-12 19:45:26 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-13 06:06:28 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-13 13:26:11 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-13 17:56:04 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-14 05:04:53 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-14 11:33:32 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-14 13:47:58 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-14 15:02:19 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-14 16:04:58 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-14 21:49:36 | система | Microsoft-Windows-User Profiles Service | 1530: Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно. ПОДРОБНО - 15 user registry handles leaked from \Registry\User\S-1-5-21-3089744579-1629278631-1332155406-1000: Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000 Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000 Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000 Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000 Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\Disallowed Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\My Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\CA Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\trust Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Policies\Microsoft\SystemCertificates Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Policies\Microsoft\SystemCertificates Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Policies\Microsoft\SystemCertificates Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Policies\Microsoft\SystemCertificates Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\SmartCardRoot Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\Root Process 628 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3089744579-1629278631-1332155406-1000\Software\Microsoft\SystemCertificates\TrustedPeople
|
| | Приложение | Внимание | Нет | 2016-04-15 05:50:00 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 06:01:14 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 06:44:37 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 07:08:04 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 10:14:28 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 11:46:21 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 16:21:59 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-15 19:36:08 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Ошибка | 100 | 2016-04-15 19:39:56 | | Application Error | 1000: Имя сбойного приложения: engine.exe, версия: 0.0.0.0, отметка времени: 0x55dc6ea3 Имя сбойного модуля: MSVCR120.dll, версия: 12.0.21005.1, отметка времени 0x524f83ff Код исключения: 0x40000015 Смещение ошибки: 0x0000000000074a46 Идентификатор сбойного процесса: 0x750 Время запуска сбойного приложения: 0x01d1973dd04e53e3 Путь сбойного приложения: C:\Users\Donik\AppData\Roaming\eth\engine.exe Путь сбойного модуля: C:\Users\Donik\AppData\Roaming\eth\MSVCR120.dll Код отчета: 11478dbb-0331-11e6-afd5-902b3493c6e1
|
| | Приложение | Внимание | Нет | 2016-04-16 02:54:54 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-16 06:11:20 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-16 10:11:01 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Приложение | Внимание | Нет | 2016-04-16 14:13:15 | | Winlogon | 4105: Windows находится в режиме уведомления.
|
| | Безопасность | Audit Success | 12544 | 2016-04-09 22:11:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-09 22:11:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-09 22:15:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-09 22:15:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-09 22:21:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-09 22:21:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-09 22:46:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-09 22:46:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 00:00:35 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x41c Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2016-04-09T23:00:16.868923400Z Новое время: 2016-04-09T22:00:35.743123000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 00:00:35 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x41c Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2016-04-09T22:00:35.787123000Z Новое время: 2016-04-09T22:00:35.787000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 00:00:35 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x41c Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2016-04-09T22:00:35.789000100Z Новое время: 2016-04-09T22:00:35.789000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 00:30:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 00:30:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 02:57:09 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Идентификатор входа: 0x1e649 Сведения о процессе: Идентификатор процесса: 0x20c4 Имя: C:\Windows\System32\rundll32.exe Предыдущее время: 2016-04-09T23:57:11.151111800Z Новое время: 2016-04-10T00:57:09.000000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 02:57:09 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Идентификатор входа: 0x1e649 Сведения о процессе: Идентификатор процесса: 0x20c4 Имя: C:\Windows\System32\rundll32.exe Предыдущее время: 2016-04-10T00:57:09.000000000Z Новое время: 2016-04-10T00:57:09.000000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 04:58:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 04:58:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-10 05:21:35 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1e649 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-10 05:21:37 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 05:56:08 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-10 05:56:09 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xca7f
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1e971 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1e971 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-10 05:56:15 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-10 05:56:17 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ee20 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-10 05:56:36 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:56:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:56:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 05:56:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:57:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:57:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 05:57:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 05:57:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-10 11:52:57 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1e971 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-10 11:53:06 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 12:15:11 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x430 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2016-04-10T11:15:09.503047100Z Новое время: 2016-04-10T10:15:11.516655500Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 12:15:11 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x430 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2016-04-10T10:15:11.528655500Z Новое время: 2016-04-10T10:15:11.528000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 12:15:11 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x430 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2016-04-10T10:15:11.564002000Z Новое время: 2016-04-10T10:15:11.564000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 13:09:45 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-10 13:09:46 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcad1
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:50 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ec33 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ec33 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:09:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-10 13:09:52 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-10 13:09:52 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:09:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2edf7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-10 13:10:12 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:10:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:10:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-10 13:10:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:10:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:10:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-10 13:12:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-10 13:12:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 19:56:54 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Идентификатор входа: 0x1ec33 Сведения о процессе: Идентификатор процесса: 0x21e0 Имя: C:\Windows\System32\rundll32.exe Предыдущее время: 2016-04-10T16:56:56.061698400Z Новое время: 2016-04-10T17:56:54.000000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2016-04-10 19:56:54 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Идентификатор входа: 0x1ec33 Сведения о процессе: Идентификатор процесса: 0x21e0 Имя: C:\Windows\System32\rundll32.exe Предыдущее время: 2016-04-10T17:56:54.000000000Z Новое время: 2016-04-10T17:56:54.000000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12545 | 2016-04-10 22:57:50 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ec33 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-10 22:57:52 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-11 04:34:18 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-11 04:34:18 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcba9
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x22cd1 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x22cd1 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e9c3 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-11 04:34:44 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 04:34:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 04:34:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 04:34:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-11 05:46:18 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x22cd1 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-11 05:46:29 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-11 07:05:40 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-11 07:05:41 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcc66
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:46 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ed9c GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ed9c Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:05:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 07:05:48 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 07:05:48 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:05:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e76e GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-11 07:06:07 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:08 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:08 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:08 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:08 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:06:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:06:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:06:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:06:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 07:06:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 07:06:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 07:06:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-11 09:27:12 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ed9c Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-11 09:27:24 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-11 13:25:08 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-11 13:25:09 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcc1e
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:13 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ec47 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ec47 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 13:25:15 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 13:25:16 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2f2fb GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-11 13:25:35 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 13:25:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 13:25:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 13:25:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 15:08:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 15:08:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-11 15:52:55 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1ec47 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-11 15:52:57 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-11 16:05:45 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-11 16:05:46 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xca43
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:49 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x300 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f62f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x300 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f62f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:05:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 16:05:51 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 16:05:52 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:05:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ebb6 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-11 16:06:10 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:06:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:06:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 16:06:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 16:06:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 16:06:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-11 17:26:00 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f62f Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-11 17:26:09 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-11 18:29:29 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-11 18:29:29 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcabc
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:35 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f764 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f764 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 18:29:36 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-11 18:29:37 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ec72 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-11 18:29:56 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:29:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:29:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:29:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:29:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:29:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:29:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-11 18:30:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-11 18:30:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:30:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:30:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:30:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-11 18:30:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12545 | 2016-04-11 23:00:32 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f764 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-11 23:00:34 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-12 05:07:49 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-12 05:07:49 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb0d
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:54 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f92c GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f92c Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:07:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:07:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 05:07:56 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 05:07:56 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:08:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ee78 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-12 05:08:17 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:08:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:08:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 05:08:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:09:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:09:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 05:11:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 05:11:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-12 06:44:19 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f92c Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-12 06:44:29 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-12 07:39:20 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-12 07:39:21 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcad2
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:25 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa58 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa58 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 07:39:27 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 07:39:29 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ebcd GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-12 07:39:49 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:39:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:39:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:39:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:39:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:39:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:39:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:40:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:40:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:40:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 07:40:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 07:41:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 07:41:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-12 08:44:01 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa58 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-12 08:44:11 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-12 09:48:47 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-12 09:48:47 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc9ce
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:52 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x21650 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2d8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:48:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x21650 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 09:48:53 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 09:48:54 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:48:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e7b7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-12 09:49:12 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:49:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:49:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 09:49:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 09:50:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 09:50:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-12 10:22:35 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x21650 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-12 10:22:44 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-12 12:28:10 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-12 12:28:10 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xca89
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x304 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f94b GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x304 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f94b Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 12:28:15 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 12:28:16 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e2a7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-12 12:28:33 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:28:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:28:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 12:28:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 12:30:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 12:30:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-12 13:50:44 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f94b Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-12 13:50:57 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-12 14:21:27 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-12 14:21:27 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcba0
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:32 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x300 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1facf GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x300 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1facf Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 14:21:33 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 14:21:35 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e641 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:21:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:21:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:21:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:21:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-12 14:21:50 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:21:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:21:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:22:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:22:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:22:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 14:22:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 14:22:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 14:22:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-12 16:15:01 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1facf Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-12 16:15:11 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-12 19:45:19 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-12 19:45:19 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcbb3
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa4b GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa4b Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 19:45:26 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-12 19:45:27 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e099 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-12 19:45:43 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:45:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:45:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-12 19:45:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:46:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:46:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-12 19:50:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-12 19:50:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-12 23:03:54 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa4b Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-12 23:03:55 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-13 06:06:21 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-13 06:06:22 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb71
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:27 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fab0 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fab0 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-13 06:06:28 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-13 06:06:29 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e3d9 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-13 06:06:46 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:06:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:06:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 06:06:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 06:08:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 06:08:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-13 10:08:04 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fab0 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-13 10:08:14 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-13 13:26:04 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-13 13:26:04 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb0b
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:10 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f8cc GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f8cc Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-13 13:26:11 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-13 13:26:12 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e476 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-13 13:26:28 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:26:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:26:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 13:26:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:28:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:28:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 13:31:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 13:31:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 14:49:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 14:49:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 16:19:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 16:19:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-13 16:43:41 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f8cc Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-13 16:43:50 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-13 17:55:57 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:55:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:55:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:55:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-13 17:55:58 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcbca
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:55:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:56:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x300 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:56:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f991 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x300 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:56:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f991 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:56:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:56:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-13 17:56:04 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-13 17:56:06 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:56:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e9a0 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-13 17:56:21 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:56:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:56:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-13 17:56:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-13 17:56:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-13 17:56:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-13 23:05:19 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f991 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-13 23:05:22 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-14 05:04:47 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-14 05:04:47 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb62
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:52 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f895 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f895 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:04:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 05:04:54 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 05:04:55 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:04:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e314 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-14 05:05:11 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:05:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:05:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 05:05:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:05:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:05:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 05:06:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 05:06:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 06:21:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 06:21:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-14 07:32:02 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f895 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-14 07:32:14 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-14 11:33:25 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-14 11:33:25 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xca89
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:30 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f925 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f925 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 11:33:31 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 11:33:33 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ed09 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-14 11:33:49 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:33:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:33:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:33:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:33:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:33:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:33:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:34:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:34:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:34:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 11:34:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 11:36:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 11:36:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-14 13:11:27 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f925 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-14 13:11:38 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-14 13:47:51 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-14 13:47:51 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcac8
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:56 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x204e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x204e5 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:47:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:47:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 13:47:58 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 13:47:59 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:48:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e7b6 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-14 13:48:16 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:48:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:48:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 13:48:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:49:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:49:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 13:51:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 13:51:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-14 14:59:26 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x204e5 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-14 14:59:28 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-14 15:02:14 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-14 15:02:14 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc2b4
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:18 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x34c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f935 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x34c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f935 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 15:02:20 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 15:02:20 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e4c5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-14 15:02:37 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:02:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 15:02:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 15:03:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 15:03:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-14 15:24:55 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f935 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-14 15:25:05 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-14 16:04:52 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-14 16:04:53 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcaf6
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:57 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x350 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa0f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x350 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa0f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:04:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:04:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 16:04:59 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-14 16:05:00 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:05:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ebb6 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-14 16:05:17 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:05:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:05:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-14 16:05:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 16:05:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 16:05:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-14 19:49:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-14 19:49:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-14 21:49:36 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fa0f Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-14 21:49:38 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 05:49:54 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:49:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 05:49:55 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcae8
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:49:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:49:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:49:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:49:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:49:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:49:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:49:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:49:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:49:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:49:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:50:00 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x340 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:50:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fab6 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x340 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:50:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fab6 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 05:50:01 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 05:50:01 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:50:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:50:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:50:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e1e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 05:50:18 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:50:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:50:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 05:50:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 05:50:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 05:50:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 05:55:43 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fab6 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 05:55:55 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 06:01:08 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 06:01:09 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcaef
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:13 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x340 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fc0d GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x340 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fc0d Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 06:01:14 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 06:01:16 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e983 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 06:01:32 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:01:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:01:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:01:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 06:15:52 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fc0d Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 06:16:01 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 06:44:31 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 06:44:31 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb14
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:36 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x34c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f9ba GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x34c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f9ba Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 06:44:37 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 06:44:39 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ecec GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 06:44:55 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:44:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:44:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:44:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:44:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:44:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:44:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:45:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:45:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:45:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 06:45:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 06:46:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 06:46:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 07:01:43 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1f9ba Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 07:01:53 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 07:08:00 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 07:08:00 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcaec
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x330 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x20161 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x330 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x20161 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 07:08:04 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 07:08:05 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e54e GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 07:08:22 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 07:08:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 07:08:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 07:08:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 08:56:28 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x20161 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 08:56:40 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 10:14:21 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 10:14:22 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcacd
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:27 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x33c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x20428 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x33c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x20428 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 10:14:28 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 10:14:29 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ed00 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 10:14:46 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:14:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:14:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 10:14:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 10:15:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 10:15:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 10:49:34 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x20428 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 10:49:44 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 11:46:15 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 11:46:16 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb64
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:21 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x205cf GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2e0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x205cf Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 11:46:22 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 11:46:23 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ef30 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 11:46:39 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:46:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:46:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 11:46:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 11:47:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 11:47:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:07:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:07:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 16:08:10 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x205cf Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 16:08:12 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 16:21:50 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 16:21:51 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcbac
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 16:21:55 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 16:21:58 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:58 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:21:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x23429 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:21:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x23429 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:22:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2eed5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 16:22:17 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:22:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:22:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 16:22:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:22:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:22:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 16:23:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 16:23:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-15 17:16:19 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x23429 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-15 17:16:29 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-15 19:36:02 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-15 19:36:02 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xced3
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:07 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x28c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fb41 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x28c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fb41 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 19:36:08 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-15 19:36:09 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ea5b GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-15 19:36:28 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:36:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:36:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-15 19:36:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:37:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:37:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 19:39:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 19:39:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 20:26:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 20:26:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 21:14:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 21:14:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 23:25:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 23:25:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-15 23:31:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-15 23:31:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 00:16:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 00:16:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-16 02:15:50 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fb41 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-16 02:15:53 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-16 02:54:47 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-16 02:54:48 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcb99
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 02:54:52 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 02:54:53 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:53 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:54:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x22247 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:54:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x22247 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:55:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2eb12 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-16 02:55:14 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:55:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:55:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 02:55:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:55:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:55:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 02:57:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 02:57:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-16 04:32:45 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x22247 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-16 04:39:14 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-16 06:11:14 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-16 06:11:15 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcbae
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fd2f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fd2f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 06:11:20 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 06:11:22 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e9c5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-16 06:11:41 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:11:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:11:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 06:11:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 06:12:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 06:12:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-16 08:18:59 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x1fd2f Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-16 08:19:09 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-16 10:10:54 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-16 10:10:54 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcbee
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:10:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:10:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:10:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:10:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 10:10:59 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 10:11:00 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:11:00 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2a4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:11:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x24d50 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2a4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:11:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x24d50 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:11:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2e962 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2016-04-16 10:11:20 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:11:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:11:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 10:11:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 10:13:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 10:13:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2016-04-16 11:43:35 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x24d50 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2016-04-16 11:43:50 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2016-04-16 14:13:07 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2016-04-16 14:13:08 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd128
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 14:13:13 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2016-04-16 14:13:14 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Donik Домен учетной записи: Donik-ПК GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x23b79 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: DONIK-ПК Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3089744579-1629278631-1332155406-1000 Имя учетной записи: Donik Домен учетной записи: Donik-ПК Код входа: 0x23b79 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2ee4a GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12290 | 2016-04-16 14:13:34 | | Microsoft-Windows-Security-Auditing | 5056: Выполнена криптографическая самопроверка. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Модуль: ncrypt.dll Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 14:13:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 14:13:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 14:13:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: %%2432 Имя ключа: {39B7C302-4DF1-462A-8B07-D48D9F989012} Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090010
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 20:14:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 20:14:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 20:20:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 20:20:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 20:20:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 20:20:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2016-04-16 20:21:10 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1ac4 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0xb55c30
|
| | Безопасность | Audit Success | 13568 | 2016-04-16 20:21:10 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1ac4 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0xb55c30
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 20:35:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 20:35:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2016-04-16 20:57:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DONIK-ПК$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2016-04-16 20:57:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 21:32:30 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64
|
| | Безопасность | Audit Failure | 12290 | 2016-04-16 21:32:30 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64
|
| | Система | Ошибка | Нет | 2016-04-10 03:57:07 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 03:57:07 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 04:06:25 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 04:06:25 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 04:45:43 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 04:45:43 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 05:00:22 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 05:00:22 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 05:56:10 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-10 05:56:16 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-10 05:56:36 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-10 13:09:47 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-10 13:09:52 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-10 13:10:08 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-10 14:19:02 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:19:02 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:25:35 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:25:35 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:40:06 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:40:06 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:57:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 14:57:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:14:19 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:14:19 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:20:28 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:20:28 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:25:13 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:25:13 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:26:04 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:26:04 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:32:31 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:32:31 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:35:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:35:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:37:08 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:37:08 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:51:12 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:51:12 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:53:34 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 15:53:34 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 16:12:24 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 16:12:24 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 16:58:46 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 16:58:46 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:03:09 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:03:09 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:17:13 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:17:13 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:50:51 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:50:51 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:52:39 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:52:39 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:57:40 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 17:57:40 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:06:50 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:06:50 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:11:51 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:11:51 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:14:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:14:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:20:10 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:20:10 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:21:30 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:21:30 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:41:56 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:41:56 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:42:54 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 18:42:54 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 20:31:47 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 20:31:47 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 20:52:50 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 20:52:50 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 22:40:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-10 22:40:45 | | nvlddmkm | 13:
|
| | Система | Ошибка | Нет | 2016-04-11 04:34:19 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 04:34:22 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 04:34:40 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-11 07:05:42 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 07:05:48 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 07:06:07 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-11 13:25:10 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 13:25:15 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 13:25:32 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-11 16:05:46 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 16:05:51 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 16:06:10 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-11 18:29:31 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 18:29:37 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-11 18:29:56 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 05:07:50 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 05:07:56 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 05:08:17 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 05:13:02 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-12 07:39:22 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 07:39:27 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 07:39:49 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 07:45:19 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-12 09:48:48 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 09:48:53 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 09:49:12 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 09:53:56 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-12 12:28:11 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 12:28:15 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 12:28:33 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 14:21:28 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 14:21:33 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 14:21:50 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 14:26:37 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-12 19:45:20 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 19:45:26 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-12 19:45:43 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-12 19:50:30 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-13 06:06:23 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-13 06:06:28 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-13 06:06:46 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-13 13:26:06 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-13 13:26:11 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-13 13:26:28 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-13 17:55:59 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-13 17:56:04 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-13 17:56:21 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-13 18:01:12 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-14 05:04:48 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 05:04:54 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 05:05:10 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-14 11:33:26 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 11:33:32 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 11:33:49 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-14 11:39:16 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-14 13:47:52 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 13:47:58 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 13:48:16 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-14 15:02:15 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 15:02:20 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 15:02:37 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-14 15:07:41 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-14 16:04:54 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 16:05:00 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-14 16:05:17 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-15 05:49:56 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 05:50:01 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 05:50:17 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Внимание | Нет | 2016-04-15 05:51:20 | Donik | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени 184.52.125.178.in-addr.arpa истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2016-04-15 05:55:07 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени dsn6.d.skype.net истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Ошибка | Нет | 2016-04-15 06:01:09 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 06:01:14 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 06:01:32 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Внимание | Нет | 2016-04-15 06:02:39 | Donik | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени 184.52.125.178.in-addr.arpa истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Ошибка | Нет | 2016-04-15 06:44:32 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 06:44:38 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 06:44:55 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Внимание | Нет | 2016-04-15 06:47:52 | Donik | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени 184.52.125.178.in-addr.arpa истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Ошибка | Нет | 2016-04-15 07:08:01 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 07:08:04 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 07:08:22 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Внимание | Нет | 2016-04-15 07:09:20 | Donik | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени 184.52.125.178.in-addr.arpa истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Ошибка | Нет | 2016-04-15 10:14:23 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 10:14:28 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 10:14:46 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-15 11:46:17 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 11:46:22 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 11:46:38 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-15 16:21:52 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 16:21:55 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 16:22:17 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-15 19:36:03 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 19:36:08 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-15 19:36:28 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-16 02:54:49 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 02:54:52 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 02:55:11 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-16 03:00:00 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-16 06:11:16 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 06:11:21 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 06:11:41 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-16 06:13:56 | | DCOM | 10010: Регистрация сервера {CC957078-B838-47C4-A7CF-626E7A82FC58} DCOM не прошла за отведенное время ожидания.
|
| | Система | Ошибка | Нет | 2016-04-16 10:10:56 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 10:10:59 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 10:11:16 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-16 10:16:37 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-16 14:13:09 | | Service Control Manager | 7000: Сбой при запуске службы "QQPCMgr RTP Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 14:13:13 | | Service Control Manager | 7000: Сбой при запуске службы "BAIDU PRA Service" из-за ошибки %%2
|
| | Система | Ошибка | Нет | 2016-04-16 14:13:31 | | Service Control Manager | 7026: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: bbrowserboost mtdtapqn TsDefenseBt
|
| | Система | Ошибка | Нет | 2016-04-16 14:18:15 | | Service Control Manager | 7022: Служба "Центр обновления Windows" зависла при запуске.
|
| | Система | Ошибка | Нет | 2016-04-16 21:32:30 | | Service Control Manager | 7000: Сбой при запуске службы "FinalWire AIDA64 Kernel Driver" из-за ошибки %%577
|