Windows登录类型及安全日志解析

cz-sjm

Windows登录类型及安全日志解析

一、Windows登录类型
      如果你留意Windows系统的安全日志，在那些事件描述中你将会发现里面的“登录类型”并非全部相同，难道除了在键盘上进行交互式登录（登录类型1）之外还有其它类型吗？不错，Windows为了让你从日志中获得更多有价值的信息，它细分了很多种登录类型，以便让你区分登录者到底是从本地登录，还是从网络登录，以及其它更多的登录方式。因为了解了这些登录方式，将有助于你从事件日志中发现可疑的黑客行为，并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。
登录类型2：交互式登录（Interactive）
这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。
登录类型3：网络（Network）
当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。
登录类型4：批处理（Batch）
当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。
登录类型5：服务（Service）
与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。
登录类型7：解锁（Unlock）
你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
登录类型8：网络明文（NetworkCleartext）
这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
登录类型9：新凭证（NewCredentials）
当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它，但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9，如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2。
登录类型10：远程交互（RemoteInteractive）
当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。
登录类型11：缓存交互（CachedInteractive）
Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能，默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。
上面讲了Windows的登录类型，但默认情况下Windows2000是没有记录安全日志的，你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些详细的记录信息有助于大家更好地掌握系统情况，维护网络安定。
二、日志记录
'*************************************************************************
' 通过终端登录服务器的日志（管理员帐号登录）
'*************************************************************************

2006-5-9    8:24:01    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x17F4C31B)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-9    8:24:01    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
     clientUserName
工作站:
     COMPUTERNAME
"
2006-5-9    8:23:44    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名:     Winlogon\MSGina "

'*************************************************************************
' AT计划IIS服务重启（脚本）安全日志（IUSR_COMPUTERNAME）
'*************************************************************************

2006-5-9    7:00:34    Security    成功审核    登录/注销     540    COMPUTERNAME\IUSR_COMPUTERNAME    COMPUTERNAME    "成功的网络登录:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x17BF45CB)
     登录类型:    3
     登录过程:    IIS     
     身份验证程序包:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:    COMPUTERNAME "
2006-5-9    7:00:34    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
     IUSR_COMPUTERNAME
工作站:
     COMPUTERNAME
"
2006-5-9    7:00:34    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名:     \inetinfo.exe "
2006-5-9    7:00:16    Security    成功审核    登录/注销     538    COMPUTERNAME\IUSR_COMPUTERNAME    COMPUTERNAME    "用户注销:
     用户名:    IUSR_COMPUTERNAME
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x158DFFBF)
     登录类型:    3
"

'*************************************************************************
' 计划任务运行程序日志（管理员帐号）
'*************************************************************************

2006-5-9    1:08:04    Security    成功审核    登录/注销     538    COMPUTERNAME\clientUserName    COMPUTERNAME    "用户注销:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x167C8DC4)
     登录类型:    4
"
2006-5-9    1:00:00    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0x167C8DC4)
     登录类型:     4
     登录过程:     Advapi  
     身份验证程序包:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     工作站名:     COMPUTERNAME "
2006-5-9    1:00:00    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
     clientUserName
工作站:
     COMPUTERNAME
"

'*************************************************************************
' 从服务器断开后重新连接到服务器
'*************************************************************************

2006-5-4    19:24:24    Security    成功审核    登录/注销     682    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话被重新连接到 winstation:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    RDP-Tcp#3
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:23    Security    成功审核    登录/注销     683    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0xA28751E)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "
2006-5-4    19:24:20    Security    成功审核    登录/注销     528    COMPUTERNAME\clientUserName    COMPUTERNAME    "登录成功:
     用户名:     clientUserName
     域:         COMPUTERNAME
     登录 ID:         (0x0,0xA28751E)
     登录类型:     2
     登录过程:     User32  
     身份验证程序包:     Negotiate
     工作站名:     COMPUTERNAME "
2006-5-4    19:24:20    Security    成功审核    帐户登录     680    NT AUTHORITY\SYSTEM    COMPUTERNAME    "为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
     clientUserName
工作站:
     COMPUTERNAME
"
2006-5-4    19:23:58    Security    成功审核    系统事件     515    NT AUTHORITY\SYSTEM    COMPUTERNAME    "受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名:     Winlogon\MSGina "
2006-5-4    19:22:34    Security    成功审核    登录/注销     683    COMPUTERNAME\clientUserName    COMPUTERNAME    "会话从 winstation 中断连接:
     用户名:    clientUserName
     域:        COMPUTERNAME
     登录 ID:        (0x0,0x37A9068)
     会话名称:    Unknown
     客户端名:    客户端名(计算机名)
     客户端地址:    客户端地址(IP) "

'*************************************************************************
' 通过Net User/Net LocalGroup等命令添加用户帐号，加入指定组，删除帐号（Win2K3）
'*************************************************************************

2006-5-9    9:23:06    Security    审核成功    帐户管理     630    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     633    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的全局组成员:
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的本地组:
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:23:06    Security    审核成功    帐户管理     637    COMPUTERNAME\clientUserName    COMPUTERNAME    "删除了启用安全的本地组:
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:21:24    Security    审核成功    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    Administrators
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Administrators
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     636    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的本地组成员:
     成员名称:    -
     成员ID:    COMPUTERNAME\mytest
     目标帐户名称:    Users
     目标域:    Builtin
     目标帐户 ID:    BUILTIN\Users
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     628    COMPUTERNAME\clientUserName    COMPUTERNAME    "设置了用户帐户密码:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     642    COMPUTERNAME\clientUserName    COMPUTERNAME    "更改了用户帐户:
     目标帐户名称:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方所属域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:        -
更改的属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值>
     用户主要名称:    -
     主目录:    <未设置值>
     主驱动器:    <未设置值>
     脚本路径:    <未设置值>
     配置文件路径:    <未设置值>
     用户工作站:    <未设置值>
     上一次设置的密码:    2006-5-9 9:17:13
     帐户过期:    <从不>
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    -
     Sid 历史:    -
     登录时间(以小时计):    <值已更改，但未显示>
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     626    COMPUTERNAME\clientUserName    COMPUTERNAME    "启用了用户帐户:
     目标帐户名:    mytest
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     624    COMPUTERNAME\clientUserName    COMPUTERNAME    "创建了用户帐户:
     新的帐户名:    mytest
     新域:    COMPUTERNAME
     新帐户标识:    COMPUTERNAME\mytest
     调用方用户名:    clientUserName
     调用方域:    COMPUTERNAME
%调用方登录 ID:    (0x0,0x2363D)
     特权:        -
属性:
     SAM 帐户名称:    mytest
     显示名称:    <未设置值>
     用户主要名称:    -
     主目录:    <未设置值>
     主驱动器:    <未设置值>
     脚本路径:    <未设置值>
     配置文件路径:    <未设置值>
     用户工作站:    <未设置值>
     上一次设置的密码:    <从不>
     帐户过期:    <从不>
     主要组 ID:    513
     AllowedToDelegateTo:    -
     旧 UAC 值:    0x9C498
     新 UAC 值:    0x9C498
     用户帐户控制:    -
     用户参数:    <未设置值>
     Sid 历史:    -
     登录时间:    <值已更改，但未显示>
"
2006-5-9    9:17:13    Security    审核成功    帐户管理     632    COMPUTERNAME\clientUserName    COMPUTERNAME    "添加了启用安全的全局组成员:
     成员名称:    -
     成员 ID:    COMPUTERNAME\mytest
     目标帐户名称:    None
     目标域:    COMPUTERNAME
     目标帐户 ID:    COMPUTERNAME\None
     调用方用户名称:    clientUserName
     调用方域:    COMPUTERNAME
     调用方登录 ID:    (0x0,0x2363D)
     特权:    -


帐号重命名(685、642)


*************************************************************************************
Windows 重启事件
*************************************************************************************
事件6005表示计算机日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005，就说明这天正常启动了windows系统。
　　事件6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID为6006的事件，就表示计算机在这天没关机或没有正常关机（可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作）。如果事件6005和6006的记录时间相差很短，大致可判断为重启（当然可以通过事件1074进行详细的查看）。

　　事件1074，在系统的事件跟踪程序开启的情况下，可以通过这个事件查看计算机的开机、关机、重启的时间以及原因和注释。
　　If you're looking for a system initiated shutdown/restart, look for event 1074. The details for this event will tell you what process initiated the restart and what reason was given, and you can check the reason code for further information about why the system shut down or restarted.
　　事件6009如果你发现多个例如“事件日志已启动”、“Microsoft   (R)   Windows   2000   (R)   5.0   2195   Service   Pack   2   Uniprocessor   Free”这样的信息，一般来说都是系统有过相关的重启或关机；
　　Event 6009 is logged at startup, not at shutdown. It contains only a string identifying the operating system version. It's been that way since NT 4.0 or so
　　事件6013 Windows2008:系统启动时间为 29 秒。
　　这个日志(6013)的信息并不是表示你的计算机重启了，而是说明自从上次启动以来，系统运行了多长的时间了。该日志会每天12点整出现一次。至于如何查看系统运行多长时间了，请在cmd中输入systeminfo其中有一行就是“系统启动时间”，该值精确到秒)
　　事件1007表示该计算机无法从DHCP服务器获得相应的信息。在很多网络环境中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在windows日志中产生一个事件ID号为1007的事件。如果用户在事件日志中发现该编号事件，就说明该机器无法从DHCP服务器获得信息。就要查看是该机器的网络故障还是DHCP服务器的问题了。
　　最后，推荐一个查看日志原因的网站链接，以供参考。
　　http://www.eventid.net/

　　帐号锁定
　　事件 ID： 644 类似于以下的消息可能会在安全日志中出现，即使没有用户帐户已被锁定原因的错误登录尝试：
　　事件 ID： 644。
审核成功。
事件用户： NT AUTHORITY\ANONYMOUS 登录。
事件源： 安全。
事件详细信息： 用户帐户锁定：

-或者-　　事件 ID： 644。
审核成功。
事件用户： NT AUTHORITY\SYSTEM。
事件源： 安全。
事件详细信息： 用户帐户锁定：
目标帐户 ID： 系统
事件 ID： 644-用户帐户锁定出安全事件生成的主要域控制器 (PDC) 以指示表示用户帐户已被自动锁定原因的错误登录尝试。如果为域审核策略启用了用户和组管理审核类别的成功，则生成安全事件。
但是，此消息可能不正确地显示在安全日志中，它可能 不 表示已被由于的无效登录尝试锁定帐户。



http://support.microsoft.com/kb/887433
您网络上的用户可能意外地锁定用户帐户。即使用户没有以前尝试登录，并在未键入任何不正确的用户名或密码，将发生此问题。在这种情况，在基于 Microsoft Windows Server 2003 的计算机上的事件日志中记录以下事件：
　　事件类型： 错误
事件源： SAM
事件类别： 无
事件 ID： 12294
日期：
时间:
用户：
计算机：
说明: SAM 数据库无法锁定的帐户由于资源错误，如硬磁盘写的失败 (一个特定的错误代码在错误数据中)。因此，提供了一定数量的错误密码后，帐户会锁定请考虑重设上面提到的帐户的密码。

在您网络上的计算机感染了 W32 时，可能发生此问题。Randex.F 蠕虫病毒或它的变体。
若要解决此问题，请使用最新的可用的病毒定义网络上运行完整的病毒扫描。使用扫描删除 W32。Randex.F 蠕虫病毒。有关如何执行病毒扫描或如何获得最新的病毒定义，请参阅您的防病毒软件文档或与制造商联系。
有关如何与您的防病毒程序制造商联系的其他信息请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
49500防病毒软件供应商的列表


Windows 2008 帐号锁定  事件 ID: 4625


日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2013/10/25 10:46:15
事件 ID:         4625
任务类别:          帐户锁定
级别:            信息
关键字:           审核失败
用户:            暂缺
计算机:           K3N1
描述:
帐户登录失败。

主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: DEV
帐户域: K3N1

失败信息:
失败原因: 帐户已锁定。
状态: 0xc0000234
子状态: 0x0

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: CITY-PC
源网络地址: -
源端口: -

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥，则此字段为 0。






Windows 2008

日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2013/7/18 10:33:13
事件 ID:         4625
任务类别:          登录
级别:            信息
关键字:           审核失败
用户:            暂缺
计算机:           ncndc1test10
描述:
帐户登录失败。

主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: test
帐户域: WIN-TDAU7R8OHSD

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: WIN-TDAU7R8OHSD
源网络地址: -
源端口: -

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥，则此字段为 0。