Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: %1 Kontoname: %2 Kontodomäne: %3 Anmelde-ID: %4 Anmeldetyp: ...

Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		%1
	Kontoname:		%2
	Kontodomäne:		%3
	Anmelde-ID:		%4

Anmeldetyp:			%9

Neue Anmeldung:
	Sicherheits-ID:		%5
	Kontoname:		%6
	Kontodomäne:		%7
	Anmelde-ID:		%8
	Anmelde-GUID:		%13

Prozessinformationen:
	Prozess-ID:		%17
	Prozessname:		%18

Netzwerkinformationen:
	Arbeitsstationsname:	%12
	Quellnetzwerkadresse:	%19
	Quellport:		%20

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		%10
	Authentifizierungspaket:	%11
	Durchlaufene Dienste:	%14
	Paketname (nur NTLM):	%15
	Schlüssellänge:		%16

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

In den Antragstellerfeldern wird das Konto auf dem lokalen System angegeben, von dem die Anmeldung angefordert wurde. Meist handelt es sich um einen Dienst wie den Serverdienst oder einen lokalen Prozess wie "Winlogon.exe" oder "Services.exe".

Im Anmeldetypfeld wird der Anmeldetyp angegeben. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

In den Feldern "Neue Anmeldung" wird das Konto angegeben, für das die Anmeldung erstellt wurde, also das angemeldete Konto.

In den Netzwerkfeldern wird der Ursprung einer Remoteanmeldeanforderung angegeben. Der Name der Arbeitsstation ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld "Identitätswechselebene" gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zur jeweiligen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner zur Korrelation des Ereignisses mit einem KDC-Ereignis.
	- Die durchlaufenen Dienste sind die Zwischendienste, die an der Anmeldeanforderung beteiligt waren.
	- Der Paketname bezeichnet das verwendete Unterprotokoll aus den NTLM-Protokollen.
	- Die Schlüssellänge bezeichnet die Länge des generierten Sitzungsschlüssels. Wenn kein Sitzungsschlüssel angefordert wurde, beträgt sie "0".