Event ID 4672: Special privileges assigned to new logon (Security)
Was diese Event ID tatsächlich auf der Festplatte aufzeichnet, welche EventData-Felder zuerst zu lesen sind und wo sie in einem DFIR-Triage-Workflow steht.
- Kanal
- Security
- Anbieter
- Windows\Security
- Triage-Notizen
- Fires when a logon gets SeDebugPrivilege, SeTcbPrivilege, etc. Useful filter for admin sessions.