우리 회사는 PIV 및 Pulse Secure를 사용하여 Win10 Enterprise 시스템과 원격 로그인을 실행합니다. 사용자의 로그온/로그오프 시간을 살펴보면 코드 811과 812에 이러한 이벤트와 관련된 태그가 있음을 발견했습니다. 태그 번호는 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 12 및 13입니다. 여기에 이러한 태그 이벤트가 무엇인지 아는 사람이 있습니까? 아니면 그에 대한 참조를 어디서 찾을 수 있나요? 이 포럼의 Ben N은 2021년 1월 3일에 다음과 같은 처음 6개 항목을 제공했습니다. 2=로그온(SessionEnv, TermSrv, Profiles, Sens 또는 GPClient) 이러한 차이점에 대한 맥락이 있습니까? 3=로그오프(Dot3svc, Wlansvc, SessionEnv, Profiles, GPClient, TermSrv, Sens) 4=잠금(자동 또는 수동에 관계없이)(TermSrv, Sens) 5=잠금 해제(TermSrv, Sens) 6=화면 보호기 시작 7=화면 보호기 중지
여기에 표시된 것처럼 이벤트 뷰어에 표시되는 이러한 숫자와 관련된 최소한의 텍스트가 있습니다. 0: TermSrv, GPClient, TrustedInstaller) 1: TermSrv) 8: SessionEnv, Sens)
9: SessionEnv, Sens) 12: TermSrv, Sens, GPClient, SessionEnv ) 13: GPClient, TermSrv)
코드와 관련 텍스트가 무엇을 참조하는지에 대한 모든 맥락은 매우 감사할 것입니다.
답변1
나 역시도 같은 내용을 조사해 본 적이 있다.Microsoft-Windows-Winlogon/운영로그는 로그온/로그오프 및 잠금/잠금 해제와 같은 사용자 활동을 결정하는 데 다소 신뢰할 수 있는 소스인 것 같습니다.
제가 주로 관심을 갖고 있는 점 참고하세요인터렉티브콘솔을 대상으로 활동이 발생하므로 내 연구는 이에 집중되었습니다.
최신 빌드 버전을 실행하는 소수의 Windows 10 시스템에서 이벤트를 샘플링했습니다. 콘솔에 대화형으로 로그온하고, 세션 잠금 및 잠금 해제하고, 사용자 전환 기능을 사용하고, 사용자 세션과 tsdiscon같은 터미널 서비스 명령을 사용하는 등의 작업을 수행했습니다.logoff
대부분의 상황에서 EventID 811("알림 이벤트 처리 시작") 다음에 812("알림 이벤트 처리 완료")가 일관되게 나타나는 것처럼 보이므로 작업 중인 데이터 세트를 이벤트 ID 812만 포함하도록 필터링했습니다. .
SYSTEM이 사용자 ID인 이벤트는 많은 상황에서 기록되는 것 같습니다. 나는 주로 최종 사용자가 직접 수행하는 활동에 관심이 있었기 때문에 이러한 이벤트를 무시하기로 결정했습니다.
로그에 SubscriberName에 대한 값이 여러 개 있습니다. 처음에는 SubscriberName이 다음과 같은 이벤트라고 가정했습니다.기간 서비스가장 관련성이 높을 것이지만 항상 그런 것은 아닙니다. (예를 들어,tsdiscon 세션에 대해 를 사용하면 관련 UserID 값이 있는 이벤트가 생성되었습니다.8SubscriberName은 다음과 같습니다.센스.)
이 모든 것을 염두에 두고 제가 찾은 결과는 다음과 같습니다.
- 0과 1: UserId가 NT AUTHORITY\SYSTEM인 경우에만 존재하며, 사용자가 로컬 SYSTEM인 경우에만 존재하는 고유 값입니다.
- 2와 12: 로그온
- 3과 13: 로그 오프
- 4: 세션이 잠겼습니다.
- 5: 세션 잠금 해제됨
- 8: 세션이 디스크에 대해 일시 중지되었습니다(예: 사용자 전환이 선택되거나
tsdiscon사용되는 경우). - 9: 디스크에서 세션이 재개되었습니다.