Подія підключення rdp також пов’язана з автентифікацією. У цьому випадку ви повинні розгорнути на консолі перегляду подій Шлях безпеки під журналами Windows. Ідентифікатор події є 4624.25 січня 2022 р
Ідентифікатор події 4624 генерується в журналі безпеки Windows, коли відбувається успішний вхід на локальному комп’ютері. Ця подія генерується на комп’ютері, до якого було здійснено доступ, тобто це комп’ютер, на якому було створено сеанс входу. Пов’язана подія, ідентифікатор події 4625, генерується, коли спроба входу не вдається.
Ідентифікатор події 4624 (переглядається в засобі перегляду подій Windows) документує кожну успішну спробу входу на локальний комп’ютер. Ця подія генерується на комп’ютері, до якого було здійснено доступ, іншими словами, на якому було створено сеанс входу. Пов'язана подія, Документи з ідентифікатором події 4625 не вдалося ввійти.
Ідентифікатор події 4776 є реєструється щоразу, коли контролер домену (DC) намагається перевірити облікові дані облікового запису за допомогою NTLM через Kerberos. Ця подія також реєструється для спроб входу до локального облікового запису SAM на робочих станціях і серверах Windows, оскільки NTLM є механізмом автентифікації за замовчуванням для локального входу.
Коли обліковий запис користувача змінюється в Active Directory, подія ID 4738 реєструється.
Ідентифікатор події 4624 Ідентифікатор події 4624: ця подія вказує на успішний вхід. Він реєструє ім’я облікового запису та час входу. Відстежуючи цю подію, ви можете бачити, коли та як часто обліковий запис використовується. Ідентифікатор події 4625: ця подія вказує на невдалу спробу входу.