У меня есть рабочий стол Windows 10, который неожиданно выключился. Я этого не видел, но он случайно перешел в автономный режим. Когда я снова загрузил его, первым событием, согласно журналам событий, была «очистка журнала». Подробности события приведены ниже. Оно было выполнено пользователем: S-1-5-18, который, как я полагаю, является системным пользователем? Я не вижу его в списке где-либо еще, но в редакторе групповой политики есть несколько записей, которые ссылаются на похожих пользователей: S-1-5-83 и S-1-5-21.
После очистки системного журнала произошло еще 6 событий очистки журнала. 5 из них связаны с сервером VisualSVN, а 1 — с файлом журнала RemoteDesktopSessionManager/Admin.
Недавно я выполнил операцию восстановления системы на этом рабочем столе, чтобы клонировать ОС на новый жесткий диск, поэтому не уверен, связаны ли эти пользователи с этим? В любом случае, очистка системных журналов кажется подозрительной и не позволяет мне выяснить, почему компьютер случайно выключился. Я проверил историю обновлений Windows, и перезагрузка не связана ни с одной операцией обновления.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
<EventID>104</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>104</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2022-02-22T02:46:19.2450542Z" />
<EventRecordID>123051</EventRecordID>
<Correlation />
<Execution ProcessID="1456" ThreadID="11800" />
<Channel>System</Channel>
<Computer>**********</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
<SubjectUserName>SYSTEM</SubjectUserName>
<SubjectDomainName>NT AUTHORITY</SubjectDomainName>
<Channel>System</Channel>
<BackupPath />
</LogFileCleared>
</UserData>
</Event>
Являются ли эти учетные записи пользователей и/или записи журнала подозрительными?