4647(S): Logoff iniciado pelo usuário.

Event 4647 illustration

Subcategoria:  Logotipoff de auditoria

Descrição do evento:

Esse evento é gerado quando um logoff é iniciado. Nenhuma atividade iniciada pelo usuário adicional pode ocorrer. Esse evento pode ser interpretado como um evento logoff.

A principal diferença com "4634(S): uma conta foi registrada". evento é que o evento 4647 é gerado quando o procedimento de logoff foi iniciado por uma conta específica usando a função logoff, e o evento 4634 mostra que a sessão foi encerrada e não existe mais.

4647 é mais típico para tipos de logon Interativo e RemoteInteractive quando o usuário foi desativado usando métodos padrão. Normalmente, você verá eventos 4647 e 4634 quando o procedimento de logoff foi iniciado pelo usuário.

Pode estar correlacionado positivamente com um "4624: uma conta foi registrada com êxito". evento usando o valor da ID do Logon . As IDs de logon são exclusivas apenas entre reinicializações no mesmo computador.

Observação  Para obter recomendações, confira Recomendações de Monitoramento de Segurança para este evento.


XML do evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4647</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12545</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-09T03:08:39.126890800Z" /> 
 <EventRecordID>230200</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3864" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x29b379</Data> 
 </EventData>
 </Event>

Funções de servidor necessárias: nenhuma.

Versão mínima do SO: Windows Server 2008, Windows Vista.

Versões do evento: 0.

Descrições do campo:

Assunto:

  • ID de segurança [Type = SID]: SID da conta que solicitou a operação "logoff". O Visualizador de Eventos tenta resolver automaticamente os SIDs e mostrar o nome da conta. Se não for possível resolver o SID, você verá os dados de origem no evento.

Observação  Um identificador de segurança (SID) é um valor exclusivo de comprimento variável usado para identificar um objeto de confiança (entidade de segurança). Cada conta possui um SID único emitido por uma autoridade, como um controlador de domínio do Active Directory, e é armazenado em um banco de dados de segurança. Sempre que um usuário efetua login, o sistema recupera o SID desse usuário no banco de dados e o coloca no token de acesso desse usuário. O sistema usa o SID no token de acesso para identificar o usuário em todas as interações subsequentes com a segurança do Windows. Quando um SID for usado como um identificador exclusivo de um usuário ou grupo, ele não poderá ser usado novamente para identificar outro usuário ou grupo. Para obter mais informações sobre SIDs, confira Identificadores de segurança.

  • Nome da conta [Type = UnicodeString]: o nome da conta que solicitou a operação "logoff".

  • Domínio da conta [Tipo = UnicodeString]: domínio ou o nome do computador da entidade. Os formatos variam e incluem o seguinte:

    • Exemplo de nome NETBIOS do domínio: CONTOSO

    • Nome de domínio completo em minúsculas: contoso.local

    • Nome de domínio completo em maiúsculas: CONTOSO.LOCAL

    • Para algumas entidades de segurança conhecidas, como SERVIÇO LOCAL ou LOGON ANÔNIMO, o valor desse campo é “AUTORIDADE NT”.

    • Para contas de usuário locais, esse campo conterá o nome do computador ou dispositivo ao qual essa conta pertence, por exemplo: “Win81”.

  • ID de logon [Tipo = HexInt64]: valor hexadecimal que pode ajudá-lo a correlacionar este evento com eventos recentes que podem conter a mesma ID de logon, por exemplo, “4624: uma conta foi conectada com êxito.”

Recomendações de monitoramento de segurança

Para 4647(S): logoff iniciado pelo usuário.

Importante   Para este evento, consulte Apêndice A: Recomendações de monitoramento de segurança para muitos eventos de auditoria.