Запрос информации по логам журнала Microsoft-Windows-Winlogon/Operational

skratyan 0 Баллы репутации
2024-09-19T12:23:57.5066667+00:00

Добрый день!

Пытаюсь нормализовать события, собираемые в SIEM систему с журнала Microsoft-Windows-Winlogon/Operational, но не могу найти в базе знаний Microsoft достаточной информации в части пояснения логов данного журнала.

На github удалось найти информацию по данному событию, но ее мало для возможности корректного чтения логов (https://github.com/repnz/etw-providers-docs/blob/master/Manifests-Win10-17134/Microsoft-Windows-Winlogon.xml#L99), т.к остается непонятной численная интерпретация значения в поле Event.

На ресурсах Microsoft нашли информацию по событиям Winlogon, но там нет ни идентификаторов событий(EventID), ни кодов задач (Task), ни кодов событий (Event) (https://learn.microsoft.com/ru-ru/windows/win32/secauthn/winlogon-notification-events).

Также мы нашли ресурс, на котором предоставлен вид логов тех или иных событий Winlogon, но информации оттуда не сильно помогает(https://windows-event-explorer.app.elstc.co/publisher/Microsoft-Windows-Winlogon).

В связи с вышеописанным нет достаточного понимания собираемых логов журнала Winlogon и возможности их чтения в принципе. Помимо вышеописанного хотелось бы получить более детальную информацию о подписчиках уведомлений. Они присутствуют в логах двух устройств, как в заведенном, так и не заведенном в домен.

Мне бы хотелось понимать какой тип событий о чем свидетельствует в данном журнале, чтобы понимать какие типы событий в принципе необходимы для сбора и как сделать их более информативными. Прошу поделиться любой информацией, которая могла бы помочь по данной проблеме. Преимущественно хотелось бы получить мануал с интерпретацией логов Winlogon. Также я опубликовала свой вопрос здесь: https://answers.microsoft.com/ru-ru/windows/forum/all/request-for-information-on-microsoft-windows/05febfb0-44aa-4d66-b2f5-6b0d090fb637

Пример сообщения:

The winlogon notification subscriber <%{SubscriberName}> began handling the notification event (%{Event}).

В XML:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-Winlogon" Guid="{MyGUID}" /> 

    <EventID>812</EventID> 

    <Version>0</Version> 

    <Level>4</Level> 

    <Task>811</Task> 

    <Opcode>2</Opcode> 

    <Keywords>0x4000000000010000</Keywords> 

    <TimeCreated SystemTime="2024-09-18T14:43:13.0238548Z" /> 

    <EventRecordID>18820</EventRecordID> 

    <Correlation /> 

    <Execution ProcessID="9168" ThreadID="8616" /> 

    <Channel>Microsoft-Windows-Winlogon/Operational</Channel> 

    <Computer>ComputerName</Computer> 

    <Security UserID="MySecurityUserID" /> 

  </System>

  <EventData>

    <Data Name="Event">N</Data> 

    <Data Name="SubscriberName">TermSrv</Data> 

  </EventData>

</Event>

Заранее благодарю за помощь!

Windows 10
Windows 10
Операционная система Майкрософт, которая работает на персональных компьютерах и планшетах.
Вопросы: 47
Windows
Windows
Семейство операционных систем Майкрософт, работающих на персональных компьютерах, планшетах, ноутбуках, телефонах, устройствах Интернета вещей, автономных гарнитурах смешанной реальности, больших экранах совместной работы и других устройствах.
Вопросы: 22
Windows Server
Windows Server
Семейство серверных операционных систем Майкрософт, поддерживающих управление, хранение данных, приложения и обмен данными на уровне предприятия.
Вопросы: 19
Комментариев: 0 Без комментариев
Голосов: {count}

Ваш ответ

Автор вопроса может помечать ответы как принятые. Это позволяет пользователям узнать, что ответ помог решить проблему автора.