Как определить, какая служба или задача вызвали определенное событие входа в систему 4624?
Я нашел серию событий входа в систему Windows 4624, подобных этому:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: mycomputername$
Account Domain: WORKGROUP
Logon ID: 0x3E7
Logon Information:
Logon Type: 5
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: Yes
Impersonation Level: Impersonation
New Logon:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3E7
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x3cc
Process Name: C:WindowsSystem32services.exe
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
За каждым из них следует еще 4672 события
Special privileges assigned to new logon.
Subject:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3E7
Privileges: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Судя по всему, похоже, что эти входы в систему вызваны определенной службой или запланированной задачей. Я попытался заглянуть в Windows LogsApplication и Windows LogsSystem, но не нашел события, которое произошло одновременно с этими входами в систему. Я в замешательстве относительно того, как найти службу или задачу, которая вызывает эти входы в систему. Любые предложения или подсказки приветствуются. Спасибо в вперед!