Windows 10
Операционная система Майкрософт, которая работает на персональных компьютерах и планшетах.
Вопросы: 46
Запрос информации по логам журнала Microsoft-Windows-Winlogon/Operational
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(316.8, 66%, 40%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ES%3C/text%3E%3C/svg%3E)
skratyan
0
Баллы репутации
Добрый день!
Пытаюсь нормализовать события, собираемые в SIEM систему с журнала Microsoft-Windows-Winlogon/Operational, но не могу найти в базе знаний Microsoft достаточной информации в части пояснения логов данного журнала.
На github удалось найти информацию по данному событию, но ее мало для возможности корректного чтения логов (https://github.com/repnz/etw-providers-docs/blob/master/Manifests-Win10-17134/Microsoft-Windows-Winlogon.xml#L99), т.к остается непонятной численная интерпретация значения в поле Event.
На ресурсах Microsoft нашли информацию по событиям Winlogon, но там нет ни идентификаторов событий(EventID), ни кодов задач (Task), ни кодов событий (Event) (https://learn.microsoft.com/ru-ru/windows/win32/secauthn/winlogon-notification-events).
Также мы нашли ресурс, на котором предоставлен вид логов тех или иных событий Winlogon, но информации оттуда не сильно помогает(https://windows-event-explorer.app.elstc.co/publisher/Microsoft-Windows-Winlogon).
В связи с вышеописанным нет достаточного понимания собираемых логов журнала Winlogon и возможности их чтения в принципе. Помимо вышеописанного хотелось бы получить более детальную информацию о подписчиках уведомлений. Они присутствуют в логах двух устройств, как в заведенном, так и не заведенном в домен.
Мне бы хотелось понимать какой тип событий о чем свидетельствует в данном журнале, чтобы понимать какие типы событий в принципе необходимы для сбора и как сделать их более информативными. Прошу поделиться любой информацией, которая могла бы помочь по данной проблеме. Преимущественно хотелось бы получить мануал с интерпретацией логов Winlogon. Также я опубликовала свой вопрос здесь: https://answers.microsoft.com/ru-ru/windows/forum/all/request-for-information-on-microsoft-windows/05febfb0-44aa-4d66-b2f5-6b0d090fb637
Пример сообщения:
The winlogon notification subscriber <%{SubscriberName}> began handling the notification event (%{Event}).
В XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{MyGUID}" />
<EventID>812</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>811</Task>
<Opcode>2</Opcode>
<Keywords>0x4000000000010000</Keywords>
<TimeCreated SystemTime="2024-09-18T14:43:13.0238548Z" />
<EventRecordID>18820</EventRecordID>
<Correlation />
<Execution ProcessID="9168" ThreadID="8616" />
<Channel>Microsoft-Windows-Winlogon/Operational</Channel>
<Computer>ComputerName</Computer>
<Security UserID="MySecurityUserID" />
</System>
<EventData>
<Data Name="Event">N</Data>
<Data Name="SubscriberName">TermSrv</Data>
</EventData>
</Event>
Заранее благодарю за помощь!
Windows 10
Windows
Windows
Семейство операционных систем Майкрософт, работающих на персональных компьютерах, планшетах, ноутбуках, телефонах, устройствах Интернета вещей, автономных гарнитурах смешанной реальности, больших экранах совместной работы и других устройствах.
Вопросы: 20
Windows Server
Windows Server
Семейство серверных операционных систем Майкрософт, поддерживающих управление, хранение данных, приложения и обмен данными на уровне предприятия.
Вопросы: 18
Войдите в систему, чтобы ответить