Event ID 4720:A user account was created(Security)
这个 Event ID 实际在磁盘上记录的内容、优先查看的 EventData 字段,以及它在 DFIR 分诊流程中的位置。
- 通道
- Security
- 提供程序
- Windows\Security
- 分诊备注
- Pair with 4724 (password reset) and 4732 (group membership).
这个 Event ID 实际在磁盘上记录的内容、优先查看的 EventData 字段,以及它在 DFIR 分诊流程中的位置。