Events

==================================================
Event Time : 16/8/2019 15:14:07.046

Record ID : 4610
Event ID : 49
Level : Error
Channel : Microsoft-Windows-Kernel-Boot/Operational
Provider : Microsoft-Windows-Kernel-Boot
Description : La directiva de integridad del sistema Windows no permite
cargar el archivo del sistema necesario,
\WINDOWS\boot\resources\custom\bootres.dll, con el estado de error 0xC000000F.
Opcode :
Task : 29
Keywords : 0x2000000000000000
Process ID : 4
Thread ID : 8
Computer : DESKTOP-4LAFI5B
User : NT AUTHORITY\SYSTEM
==================================================
==================================================
Event Time : 16/8/2019 15:14:12.206
Record ID : 290490
Event ID : 4688
Level : Undefined
Channel : Security
Provider : Microsoft-Windows-Security-Auditing
Description : Se creó un nuevo proceso.
Firmante creador:
Identificador de seguridad: S-1-5-18
Nombre de cuenta: -
Dominio de cuenta: -
Identificador de inicio de sesión: 0x3E7
Firmante de destino:
Nombre de cuenta: -
Identificador de inicio de sesión: 0x0
Información de proceso:
Identificador del nuevo proceso: 0xa8
Nombre del nuevo proceso: Registry
Tipo de elevación de token: %%1936
Etiqueta obligatoria: S-1-16-16384
Identificador del proceso creador: 0x4
Nombre del proceso creador:
Línea de comandos de proceso:
El tipo de elevación de token indica el tipo de token que se asignó al nuevo

proceso de acuerdo con la directiva Control de cuentas de usuario.
El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o
si el usuario es la cuenta predefinida Administrador o una cuenta de servicio.
El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

usa un token elevado cuando Control de cuentas de usuario está habilitado y el
usuario elige iniciar el programa mediante Ejecutar como administrador. También se
usa un token elevado cuando se configura una aplicación para que siempre requiera
un privilegio administrativo o para que siempre requiera el máximo privilegio y el
usuario pertenece al grupo Administradores.
El tipo 3 es un token limitado con los privilegios administrativos quitados y los

grupos administrativos deshabilitados. El token limitado se usa cuando Control de
cuentas de usuario está habilitado, la aplicación no requiere un privilegio
administrativo y el usuario no elige iniciar el programa mediante Ejecutar como
administrador.
Opcode :
Task : Process Creation (13312)
Keywords : Auditoría correcta
Process ID : 4
Thread ID : 32
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:12.206
Record ID : 290491
Event ID : 4696
Level : Undefined
Channel : Security
Description : Se asignó un símbolo (token) primario al proceso.
Sujeto:
Id. de seguridad: S-1-5-18
Nombre de cuenta: -
Id. de inicio de sesión: 0x3E7
Id. de proceso: 0x4
Nombre de proceso:
Proceso de destino:
Id. de proceso de destino: 0xa8
Nombre de proceso de destino: Registry
Información de nuevo símbolo:

Nombre de cuenta: -
Opcode :
Process ID : 4
Thread ID : 32
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:12.206
Record ID : 290492
Event ID : 4826
Level : Undefined
Channel : Security
Description : Se cargaron los datos de configuración de arranque.
Asunto:
Nombre de cuenta: -
Dominio de la cuenta: -
Configuración general:
Opciones de carga: -
Opciones avanzadas: No
Directiva de acceso a la configuración: Predeterminado
Registro de eventos del sistema: No
Depuración del kernel: No
Tipo de inicio de VSM: Desactivado
Configuración de la firma:
Firma de prueba: No
Firma de desarrollo: No
Desactivar comprobaciones de integridad: No
Configuración del hipervisor:

Opciones de carga del hipervisor: -
Tipo de inicio del hipervisor: Desactivado
Depuración del hipervisor: No
Opcode :
Task : Other Policy Change Events (13573)
Process ID : 4
Thread ID : 32
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:12.276
Record ID : 290493
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Identificador del nuevo proceso: 0x218
Nombre del nuevo proceso: C:\Windows\System32\smss.exe
Nombre del proceso creador:




administrador.
Opcode :
Process ID : 4
Thread ID : 304
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:17.088
Record ID : 290494
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Nombre del nuevo proceso: C:\Windows\System32\autochk.exe
Nombre del proceso creador: C:\Windows\System32\smss.exe




administrador.
Opcode :
Process ID : 4
Thread ID : 516
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:23.767
Record ID : 290495
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Identificador del nuevo proceso: 0x2c8




administrador.
Opcode :
Process ID : 4
Thread ID : 440
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:24.183
Record ID : 290496
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Identificador del nuevo proceso: 0x2d4
Nombre del nuevo proceso: C:\Windows\System32\csrss.exe
Identificador del proceso creador: 0x2c8




administrador.
Opcode :
Process ID : 4
Thread ID : 512
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:32.696
Record ID : 290497
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -




administrador.
Opcode :
Process ID : 4
Thread ID : 464
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:32.703
Record ID : 290498
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Nombre del nuevo proceso: C:\Windows\System32\csrss.exe




administrador.
Opcode :
Process ID : 4
Thread ID : 464
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:32.719
Record ID : 290499
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Nombre del nuevo proceso: C:\Windows\System32\wininit.exe
Identificador del proceso creador: 0x2c8




administrador.
Opcode :
Process ID : 4
Thread ID : 500
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:33.112
Record ID : 290500
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Identificador del nuevo proceso: 0x3a4
Nombre del nuevo proceso: C:\Windows\System32\winlogon.exe



administrador.
Opcode :
Process ID : 4
Thread ID : 504
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:33.571
Record ID : 290501
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Identificador del nuevo proceso: 0x3d0
Nombre del nuevo proceso: C:\Windows\System32\services.exe
Nombre del proceso creador: C:\Windows\System32\wininit.exe



administrador.
Opcode :
Process ID : 4
Thread ID : 500
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:33.934
Record ID : 290502
Event ID : 4688
Level : Undefined
Channel : Security
Firmante creador:
Nombre de cuenta: -
Nombre de cuenta: -
Identificador del nuevo proceso: 0x3e4
Nombre del nuevo proceso: C:\Windows\System32\lsass.exe
Nombre del proceso creador: C:\Windows\System32\wininit.exe




administrador.
Opcode :
Process ID : 4
Thread ID : 504
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:34.222
Record ID : 290503
Event ID : 4608
Level : Undefined
Channel : Security
Description : Se está iniciando Windows.
Este evento se registra cuando se inicia LSASS.EXE y se inicializa el subsistema de

auditoría.
Opcode :
Task : Security State Change (12288)
Process ID : 996
Thread ID : 1000
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:34.298
Record ID : 290504
Event ID : 4624
Level : Undefined
Channel : Security
Description : Se inició sesión correctamente en una cuenta.
Firmante:
Nombre de cuenta: -
Id. de inicio de sesión: 0x0
Información de inicio de sesión:

Tipo de inicio de sesión: 0
Modo de administrador restringido: -
Cuenta virtual: No
Token elevado: Sí
Nivel de suplantación: -
Nuevo inicio de sesión:

Nombre de cuenta: SYSTEM
Dominio de cuenta: NT AUTHORITY
Inicio de sesión vinculado: 0x0
Nombre de cuenta de red: -
Dominio de cuenta de red: -
GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}
Id. de proceso: 0x4
Nombre de proceso:
Información de red:
Nombre de estación de trabajo: -
Dirección de red de origen: -
Puerto de origen: -
Información de autenticación detallada:

Proceso de inicio de sesión: -
Paquete de autenticación: -
Servicios transitados: -
Nombre de paquete (solo NTLM): -
Longitud de clave: 0
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al
que se tuvo acceso.
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio
de sesión. Suele ser un servicio como el servicio de servidor o un proceso local
como Winlogon.exe o Services.exe.
El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se

realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).
Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo
inicio de sesión, es decir, aquella en la que se inició la sesión.
Los campos de red indican dónde se originó una solicitud de inicio de sesión
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar
en blanco en algunos casos.
El campo de nivel de suplantación indica en qué medida un proceso en la sesión de

inicio de sesión puede suplantar.
Los campos de información de autenticación proporcionan información detallada sobre

esta solicitud de inicio de sesión específica.
- GUID de inicio de sesión es un identificador único que se puede usar para
correlacionar este evento con un evento KDC.
- Servicios transitados indica los servicios intermedios que participaron en
esta solicitud de inicio de sesión.
- Nombre de paquete indica el subprotocolo que se usó entre los protocolos
NTLM.
- Longitud de clave indica la longitud de la clave de sesión generada. Será 0
si no se solicitó una clave de sesión.
Opcode :
Task : Logon (12544)
Process ID : 996
Thread ID : 1000
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.173
Record ID : 290505
Event ID : 4902
Level : Undefined
Channel : Security
Description : Se creó la tabla de directiva de auditoría por usuario.
Número de elementos: 0
Id. de directiva: 0xC136
Opcode :
Task : Audit Policy Change (13568)
Process ID : 996
Thread ID : 128
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.583
Record ID : 290506
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:
Nombre de cuenta: DESKTOP-4LAFI5B$
Dominio de cuenta: WORKGROUP

Cuenta virtual: No
Token elevado: Sí
Nivel de suplantación: Suplantación

Id. de proceso: 0x3d0
Nombre de proceso: C:\Windows\System32\services.exe
Puerto de origen: -

Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.583
Record ID : 290507
Event ID : 4672
Level : Undefined
Channel : Security
Description : Se asignaron privilegios especiales a un nuevo inicio de
sesión.
Sujeto:
Privilegios: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Opcode :
Task : Special Logon (12548)
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.583
Record ID : 290508
Event ID : 4648
Level : Undefined
Channel : Security
Description : Se intentó iniciar sesión con credenciales explícitas.
Sujeto:
Cuenta cuyas credenciales se usaron:
Nombre de cuenta: UMFD-0
Dominio de cuenta: Font Driver Host
Servidor de destino:
Nombre de servidor de destino: localhost
Información adicional: localhost
Id. de proceso: 0x354
Nombre de proceso: C:\Windows\System32\wininit.exe
Dirección de red: -
Puerto: -
Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta
especificando explícitamente las credenciales de la cuenta. Suele producirse en
configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando
RUNAS.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.583
Record ID : 290509
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: Sí
Token elevado: No

Id. de seguridad: S-1-5-96-0-0
Id. de inicio de sesión: 0xC2EA
Nombre de proceso: C:\Windows\System32\wininit.exe
Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.589
Record ID : 290510
Event ID : 4648
Level : Undefined
Channel : Security
Sujeto:

Id. de proceso: 0x3a4
Nombre de proceso: C:\Windows\System32\winlogon.exe
Puerto: -
RUNAS.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.589
Record ID : 290511
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: Sí
Token elevado: No

Id. de inicio de sesión: 0xC30E
Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.841
Record ID : 290512
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -
que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:35.841
Record ID : 290513
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:36.477
Record ID : 290514
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Nombre de cuenta: NETWORK SERVICE
Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:36.477
Record ID : 290515
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
Nombre de cuenta: NETWORK SERVICE
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:37.247
Record ID : 290516
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:37.247
Record ID : 290517
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:38.532
Record ID : 290518
Event ID : 4648
Level : Undefined
Channel : Security
Sujeto:

Nombre de cuenta: DWM-1
Dominio de cuenta: Window Manager
Puerto: -
RUNAS.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:38.532
Record ID : 290519
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: Sí
Token elevado: Sí

Id. de inicio de sesión: 0x120BE
Inicio de sesión vinculado: 0x120EE
Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:38.532
Record ID : 290520
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:
Cuenta virtual: Sí
Token elevado: No

Id. de inicio de sesión: 0x120EE
Inicio de sesión vinculado: 0x120BE
Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:38.532
Record ID : 290521
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
Id. de inicio de sesión: 0x120BE
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:38.532
Record ID : 290522
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
Id. de inicio de sesión: 0x120EE
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.159
Record ID : 290523
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Nombre de cuenta: LOCAL SERVICE
Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.159
Record ID : 290524
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
Nombre de cuenta: LOCAL SERVICE
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.163
Record ID : 290525
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.163
Record ID : 290526
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.512
Record ID : 290527
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.512
Record ID : 290528
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.525
Record ID : 290529
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:40.525
Record ID : 290530
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:42.093
Record ID : 290531
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:42.093
Record ID : 290532
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:43.286
Record ID : 290533
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:43.286
Record ID : 290534
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:43.851
Record ID : 290535
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:
Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:43.851
Record ID : 290536
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:44.850
Record ID : 290537
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:44.850
Record ID : 290538
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:44.940
Record ID : 290539
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:44.940
Record ID : 290540
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:48.076
Record ID : 290541
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:48.076
Record ID : 290542
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:52.876
Record ID : 290543
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:52.876
Record ID : 290544
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:54.147
Record ID : 290545
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:54.147
Record ID : 290546
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:54.465
Record ID : 290547
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:54.465
Record ID : 290548
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.014
Record ID : 290549
Event ID : 5033
Level : Undefined
Channel : Security
Description : El controlador de Firewall de Windows se inició correctamente.
Opcode :
Task : Other System Events (12292)
Process ID : 4
Thread ID : 516
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.976
Record ID : 108333
Event ID : 7000
Level : Error
Channel : System
Provider : Service Control Manager
Description : El servicio Ds3Service no pudo iniciarse debido al siguiente
error:
El sistema no puede encontrar el archivo especificado.
Opcode :
Task :
Keywords : Clásico
Process ID : 976
Thread ID : 1300
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.986
Record ID : 290550
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.986
Record ID : 290551
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 488
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.988
Record ID : 290552
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -
que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.988
Record ID : 290553
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.988
Record ID : 290554
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.988
Record ID : 290555
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.990
Record ID : 290556
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.990
Record ID : 290557
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.990
Record ID : 290558
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.990
Record ID : 290559
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.990
Record ID : 290560
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:55.990
Record ID : 290561
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.127
Record ID : 290562
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.


NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.127
Record ID : 290563
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.128
Record ID : 290564
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.128
Record ID : 290565
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.129
Record ID : 919347
Event ID : 8002
Level : Warning
Channel : Microsoft-Windows-Store/Operational
Provider : Microsoft-Windows-Store
Description : Capturing identity for LocalService, this probably isn't
intended
Function: StoredIdentity::StoredIdentity
Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538)
Opcode : Warning (13)
Task : LM (8001)
Keywords : 0x8000100000000000
Process ID : 2996
Thread ID : 2124
User : NT AUTHORITY\LOCAL SERVICE
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.148
Record ID : 290566
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:56.149
Record ID : 290567
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 640
User :
==================================================
==================================================
Event Time : 16/8/2019 15:14:59.589
Record ID : 331
Event ID : 2000
Level : 16
Channel : Microsoft-Windows-WebAuthN/Operational
Provider : Microsoft-Windows-WebAuthN
Description : El servicio Ctap se inició correctamente.
Opcode : Start (10)
Task : Ctap Service (500)
Keywords : Ctap
Process ID : 3168
Thread ID : 3412
User : NT AUTHORITY\NETWORK SERVICE
==================================================
==================================================
Event Time : 16/8/2019 15:15:00.436
Record ID : 290568
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.


NTLM.
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:00.436
Record ID : 290569
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:00.820
Record ID : 72820
Event ID : 106
Level : Undefined
Channel : Application
Provider : LogMeIn Guardian
Description : The LogMeIn Guardian service has issued a status message:
'Service started'.
Opcode :
Task : General (1)
Keywords : Clásico
Process ID :
Thread ID :
==================================================
==================================================
Event Time : 16/8/2019 15:15:01.849
Record ID : 290570
Event ID : 4799
Level : Undefined
Channel : Security
Description : Se enumeró la pertenencia a grupos locales con seguridad
habilitada.
Firmante:
Grupo:
Id. de seguridad: S-1-5-32-544
Nombre de grupo: Administradores
Dominio de grupo: Builtin
Id. de proceso: 0xc60
Nombre de proceso: C:\Windows\System32\svchost.exe
Opcode :
Task : Security Group Management (13826)
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:01.850
Record ID : 290571
Event ID : 4799
Level : Undefined
Channel : Security
habilitada.
Firmante:
Grupo:
Nombre de grupo: Operadores de copia de seguridad
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:02.583
Record ID : 290572
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:02.583
Record ID : 290573
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:03.088
Record ID : 919395
Event ID : 8002
Level : Warning
Description : Capturing identity for LocalService, this probably isn't
intended
Function: StoredIdentity::StoredIdentity
Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538)
Task : LM (8001)
Keywords : 0x8000100000000000
Process ID : 2996
Thread ID : 2124
==================================================
==================================================
Event Time : 16/8/2019 15:15:03.198
Record ID : 919457
Event ID : 8002
Level : Warning
Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122}
not in table
Function: MemoryTimerService::CancelTimerWithId
Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80)
Task : LM (8001)
Keywords : 0x8000100000000000
Process ID : 2996
Thread ID : 4204
==================================================
==================================================
Event Time : 16/8/2019 15:15:05.067
Record ID : 290574
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:05.067
Record ID : 290575
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:05.880
Record ID : 290576
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:05.880
Record ID : 290577
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:06.136
Record ID : 290578
Event ID : 4799
Level : Undefined
Channel : Security
habilitada.
Firmante:
Grupo:
Nombre de grupo: Administradores
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:06.136
Record ID : 290579
Event ID : 4799
Level : Undefined
Channel : Security
habilitada.
Firmante:
Grupo:
Nombre de grupo: Operadores de copia de seguridad
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:07.619
Record ID : 290580
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:07.619
Record ID : 290581
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 484
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:10.718
Record ID : 2202
Event ID : 1025
Level : Warning
Channel : Microsoft-Windows-SMBServer/Operational
Provider : Microsoft-Windows-SMBServer
Description : Se han marcado uno o varios recursos compartidos o
canalizaciones con nombre para el acceso de usuarios anónimos. Esto aumenta el
riesgo de seguridad del equipo al permitir que los usuarios no autenticados se
conecten a este servidor.
Clave del Registro: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters

Valores del Registro: NullSessionPipes, NullSessionShares
Valor predeterminado: Vacío (o no presente)
Valor actual: No vacío
Guía:
Debería esperar este evento cuando modifique los valores predeterminados
NullSessionShares y NullSessionPipes. En un servidor de archivos típico, estas
configuraciones no existen o no contienen valores, lo que es la configuración más
segura. De forma predeterminada, los controladores de dominio rellenan la entrada
NullSessionShares con netlogon, samr y lsarpc para permitir métodos de acceso
heredados.
Opcode :
Task : 1025
Keywords : 0x2000000000000008
Process ID : 4228
Thread ID : 4400
==================================================
==================================================
Event Time : 16/8/2019 15:15:16.095
Record ID : 290582
Event ID : 5024
Level : Undefined
Channel : Security
Description : El servicio Firewall de Windows se inició correctamente.
Opcode :
Task : Other System Events (12292)
Process ID : 996
Thread ID : 124
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:16.440
Record ID : 33300
Event ID : 5861
Level : Undefined
Channel : Microsoft-Windows-WMI-Activity/Operational
Provider : Microsoft-Windows-WMI-Activity
Description : Espacio de nombres = //./root/subscription; Eventfilter = SCM
Event Log Filter (consulta su id. de evento de activación:5859); Consumidor =
NTEventLogEventConsumer="SCM Event Log Consumer"; PossibleCause = Binding
EventFilter:
instance of __EventFilter
{
CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0};
EventNamespace = "root\\cimv2";
Name = "SCM Event Log Filter";
Query = "select * from MSFT_SCMEventLogEvent";
QueryLanguage = "WQL";
};
Perm. Consumer:
instance of NTEventLogEventConsumer
{
Category = 0;
CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0};
EventType = 1;
Name = "SCM Event Log Consumer";
NameOfUserSIDProperty = "sid";
SourceName = "Service Control Manager";
};
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 3184
Thread ID : 5284
==================================================
==================================================
Event Time : 16/8/2019 15:15:17.146
Record ID : 809
Event ID : 1030
Level : Warning
Channel : Microsoft-Windows-WFP/Operational
Provider : Microsoft-Windows-WFP
Description : Transaction Watchdog Timeout
The filtering engine has exceeded the configured threshold to process a
transaction. This could indicate a suboptimal policy configuration that may cause
temporary network outages.
Owning Process ID: 4088
Transaction Time (msec): 937
Transaction Commit Time (msec): 0
Configured Threshold (msec): 500
Opcode :
Task :
Keywords : 0x4000004000000000
Process ID : 3040
Thread ID : 5136
==================================================
==================================================
Event Time : 16/8/2019 15:15:17.675
Record ID : 33301
Event ID : 5859
Level : Undefined
Description : Namespace = //./root/CIMV2; NotificationQuery = select * from
MSFT_SCMEventLogEvent; OwnerName = S-1-5-32-544; HostProcessID = 3184; Provider=
SCM Event Provider, queryID = 0; PossibleCause = Permanent
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 3184
Thread ID : 5284
==================================================
==================================================
Event Time : 16/8/2019 15:15:17.997
Record ID : 33302
Event ID : 5857
Level : Undefined
Description : El proveedor CIMWin32 se inició con código de resultado 0x0.
HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %systemroot
%\system32\wbem\cimwin32.dll
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 5176
Thread ID : 5212
==================================================
==================================================
Event Time : 16/8/2019 15:15:18.674
Record ID : 33303
Event ID : 5858
Level : Error
Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine =
DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 4080; Component =
Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT SID FROM
Win32_Account WHERE Name = 'LOCAL SERVICE'; ResultCode = 0x80041032; PossibleCause
= Unknown
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 3184
Thread ID : 5048
==================================================
==================================================
Event Time : 16/8/2019 15:15:18.757
Record ID : 33304
Event ID : 5860
Level : Undefined
Description : Namespace = ROOT\CIMV2; NotificationQuery = SELECT * FROM
__InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' AND
(TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'AfterFx.exe' OR
TargetInstance.Name = 'Adobe Encore.exe' OR TargetInstance.Name = 'Bridge.exe' OR
TargetInstance.Name = 'Contribute.exe' OR TargetInstance.Name = 'Dreamweaver.exe'
OR TargetInstance.Name = 'Fireworks.exe' OR TargetInstance.Name = 'Flash.exe' OR
TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'InDesign.exe' OR
TargetInstance.Name = 'Adobe OnLocation.exe' OR TargetInstance.Name =
'Photoshop.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR
TargetInstance.Name = 'Adobe Soundbooth CS5.exe' OR TargetInstance.Name = 'Adobe
Audition CC.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name
= 'EdgeAnimate.exe' OR TargetInstance.Name = 'Animate.exe' OR TargetInstance.Name =
'Flash.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name =
'InDesign.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name
= 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR
TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'AfterFX.exe' OR
TargetInstance.Name = 'Acrobat.exe' OR TargetInstance.Name = 'FlashBuilder.exe' OR
TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'Adobe Audition
CC.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name =
'Flash.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name =
'InCopy.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name =
'lightroom.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name
= 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR
TargetInstance.Name = 'Adobe Media Encoder.exe' OR TargetInstance.Name = 'Adobe
Audition.exe' OR TargetInstance.Name = 'Adobe Audition CS6.exe' OR
TargetInstance.Name = 'DeviceCentral.exe' OR TargetInstance.Name = 'Adobe Extension
Manager.exe' OR TargetInstance.Name = 'FlashBuilder.exe' OR TargetInstance.Name =
'Flash.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'Adobe
Prelude.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR
TargetInstance.Name = 'SpeedGrade.exe' OR TargetInstance.Name = 'Dreamweaver.exe'
OR TargetInstance.Name = 'Fireworks.exe' OR TargetInstance.Name = 'Acrobat.exe' OR
TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name =
'Dreamweaver.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name
= 'InCopy.exe' OR TargetInstance.Name = 'lightroom.exe' OR TargetInstance.Name =
'Muse.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name =
'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR
TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'Adobe Media
Encoder.exe' OR TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name =
'Animate.exe' OR TargetInstance.Name = 'Adobe Audition CC.exe' OR
TargetInstance.Name = 'Photoshop.exe' OR TargetInstance.Name = 'Adobe Prelude.exe'
OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name =
'Character Animator.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR
TargetInstance.Name = 'lightroomcc.exe' OR TargetInstance.Name = 'Dimension CC.exe'
OR TargetInstance.Name = 'XD CC.exe' OR TargetInstance.Name =
'CreativeSDKAppServiceClient.exe' OR TargetInstance.Name = 'XD CC.exe' OR
TargetInstance.Name = 'CreativeSDKAppServiceClient.exe' OR TargetInstance.Name =
'Character Animator.exe' OR TargetInstance.Name = 'AfterFX.exe' OR
TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name = 'InCopy.exe'
OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'lightroomcc.exe'
OR TargetInstance.Name = 'Photoshop.exe' OR TargetInstance.Name = 'Adobe Premiere
Pro.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name =
'Dreamweaver.exe' OR TargetInstance.Name = 'lightroomcc.exe' OR TargetInstance.Name
= 'Lightroom.exe' OR TargetInstance.Name = 'Acrobat.exe' OR TargetInstance.Name =
'InCopy.exe' OR TargetInstance.Name = 'AfterFX.exe'); UserName = NT
AUTHORITY\SYSTEM; ClientProcessID = 3588, ClientMachine = DESKTOP-4LAFI5B;
PossibleCause = Temporary
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 3184
Thread ID : 4140
==================================================
==================================================
Event Time : 16/8/2019 15:15:19.097
Record ID : 919463
Event ID : 8002
Level : Warning
Description : hr: 0x80004001
Function: LicenseProxyService::AreAllRootLicensesLeased
Source: onecoreuap\enduser\winstore\licensemanager\lib\proxy.cpp (926)
Task : LM (8001)
Keywords : 0x8000100000000000
Process ID : 2996
Thread ID : 4208
==================================================
==================================================
Event Time : 16/8/2019 15:15:19.590
Record ID : 290583
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:19.590
Record ID : 290584
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:20.787
Record ID : 290585
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -
que se tuvo acceso.



NTLM.
Opcode :
Process ID : 996
Thread ID : 132
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:20.787
Record ID : 290586
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 132
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:21.967
Record ID : 33305
Event ID : 5857
Level : Undefined
Description : El proveedor NetAdapterCim se inició con código de resultado
0x0. HostProcess = wmiprvse.exe; ProcessID = 6128; ProviderPath = %systemroot
%\system32\wbem\NetAdapterCim.dll
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 6128
Thread ID : 2528
==================================================
==================================================
Event Time : 16/8/2019 15:15:23.116
Record ID : 33306
Event ID : 5857
Level : Undefined
Description : El proveedor CIMWin32a se inició con código de resultado 0x0.
HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %systemroot
%\system32\wbem\wmipcima.dll
Opcode :
Task :
Keywords : 0x4000000000000000
Process ID : 5176
Thread ID : 5464
==================================================
==================================================
Event Time : 16/8/2019 15:15:25.651
Record ID : 290587
Event ID : 4624
Level : Undefined
Channel : Security
Firmante:

Cuenta virtual: No
Token elevado: Sí

Puerto de origen: -

que se tuvo acceso.


NTLM.
Opcode :
Process ID : 996
Thread ID : 132
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:25.651
Record ID : 290588
Event ID : 4672
Level : Undefined
Channel : Security
sesión.
Sujeto:
SeTcbPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
Opcode :
Process ID : 996
Thread ID : 132
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.663
Record ID : 290589
Event ID : 4798
Level : Undefined
Channel : Security
Description : Se enumeró la pertenencia a grupos locales de un usuario.
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500
Nombre de cuenta: Administrador
Dominio de cuenta: DESKTOP-4LAFI5B
Opcode :
Task : User Account Management (13824)
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.664
Record ID : 290590
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503
Nombre de cuenta: DefaultAccount
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.664
Record ID : 290591
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501
Nombre de cuenta: Invitado
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.664
Record ID : 290592
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002
Nombre de cuenta: matia
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.665
Record ID : 290593
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001
Nombre de cuenta: Matoke
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.667
Record ID : 290594
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.667
Record ID : 290595
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503
Nombre de cuenta: DefaultAccount
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.668
Record ID : 290596
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501
Nombre de cuenta: Invitado
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.668
Record ID : 290597
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002
Nombre de cuenta: matia
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.669
Record ID : 290598
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001
Nombre de cuenta: Matoke
Opcode :
Process ID : 996
Thread ID : 3732
User :
==================================================
==================================================
Event Time : 16/8/2019 15:15:28.703
Record ID : 290599
Event ID : 4798
Level : Undefined
Channel : Security
Firmante:
Usuario:
Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500
Opco

Idioma

Events

Cargado por

Información del documento

Derechos de autor

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Events

Cargado por

Copyright:

==================================================

Event Time : 16/8/2019 15:14:07.046

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

Información de nuevo símbolo:

Configuración del hipervisor:

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

El tipo de elevación de token indica el tipo de token que se asignó al nuevo

El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados.

El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se

El tipo 3 es un token limitado con los privilegios administrativos quitados y los

Este evento se registra cuando se inicia LSASS.EXE y se inicializa el subsistema de

Información de inicio de sesión:

Nuevo inicio de sesión:

Información de autenticación detallada:

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de

Los campos de información de autenticación proporcionan información detallada sobre

Información de inicio de sesión:

Nivel de suplantación: Suplantación

Información de autenticación detallada:

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de

Los campos de información de autenticación proporcionan información detallada sobre

Información de inicio de sesión:

Nivel de suplantación: Suplantación

Nuevo inicio de sesión:

Información de autenticación detallada:

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de

Los campos de información de autenticación proporcionan información detallada sobre