Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: %1 Kontoname: %2 Kontodomäne: %3 Anmelde-ID: %4 Anmeldeinformationen: ...

Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		%1
	Kontoname:		%2
	Kontodomäne:		%3
	Anmelde-ID:		%4

Anmeldeinformationen:
	Anmeldetyp:		%9
	Eingeschränkter Administratormodus:	%22
	Virtuelles Konto:		%25
	Token mit erhöhten Rechten:		%27

Identitätswechselebene:		%21

Neue Anmeldung:
	Sicherheits-ID:		%5
	Kontoname:		%6
	Kontodomäne:		%7
	Anmelde-ID:		%8
	Verknüpfte Anmelde-ID:		%26
	Netzwerk-Kontoname:	%23
	Netzwerk-Kontodomäne:	%24
	Anmelde-GUID:		%13

Prozessinformationen:
	Prozess-ID:		%17
	Prozessname:		%18

Netzwerkinformationen:
	Arbeitsstationsname:	%12
	Quellnetzwerkadresse:	%19
	Quellport:		%20

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		%10
	Authentifizierungspaket:	%11
	Übertragene Dienste:	%14
	Paketname (nur NTLM):	%15
	Schlüssellänge:		%16

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.