================================================== Event Time : 16/8/2019 15:14:07.046 Record ID : 4610 Event ID : 49 Level : Error Channel : Microsoft-Windows-Kernel-Boot/Operational Provider : Microsoft-Windows-Kernel-Boot Description : La directiva de integridad del sistema Windows no permite cargar el archivo del sistema necesario, \WINDOWS\boot\resources\custom\bootres.dll, con el estado de error 0xC000000F. Opcode : Task : 29 Keywords : 0x2000000000000000 Process ID : 4 Thread ID : 8 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:14:12.206 Record ID : 290490 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0xa8 Nombre del nuevo proceso: Registry Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x4 Nombre del proceso creador: Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 32 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:12.206 Record ID : 290491 Event ID : 4696 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3E7 Información de proceso: Id. de proceso: 0x4 Nombre de proceso: Proceso de destino: Id. de proceso de destino: 0xa8 Nombre de proceso de destino: Registry Información de nuevo símbolo: Id. de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3E7 Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 32 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:12.206 Record ID : 290492 Event ID : 4826 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de la cuenta: - Id. de inicio de sesión: 0x3E7 Configuración general: Opciones de carga: - Opciones avanzadas: No Directiva de acceso a la configuración: Predeterminado Registro de eventos del sistema: No Depuración del kernel: No Tipo de inicio de VSM: Desactivado Configuración de la firma: Firma de prueba: No Firma de desarrollo: No Desactivar comprobaciones de integridad: No Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del hipervisor: Desactivado Depuración del hipervisor: No Opcode : Task : Other Policy Change Events (13573) Keywords : Auditoría correcta Process ID : 4 Thread ID : 32 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:12.276 Record ID : 290493 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x218 Nombre del nuevo proceso: C:\Windows\System32\smss.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x4 Nombre del proceso creador: Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 304 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:17.088 Record ID : 290494 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x278 Nombre del nuevo proceso: C:\Windows\System32\autochk.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x218 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 516 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:23.767 Record ID : 290495 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x2c8 Nombre del nuevo proceso: C:\Windows\System32\smss.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x218 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 440 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:24.183 Record ID : 290496 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x2d4 Nombre del nuevo proceso: C:\Windows\System32\csrss.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x2c8 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 512 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:32.696 Record ID : 290497 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x330 Nombre del nuevo proceso: C:\Windows\System32\smss.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x218 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 464 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:32.703 Record ID : 290498 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x338 Nombre del nuevo proceso: C:\Windows\System32\csrss.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x330 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 464 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:32.719 Record ID : 290499 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x354 Nombre del nuevo proceso: C:\Windows\System32\wininit.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x2c8 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 500 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:33.112 Record ID : 290500 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x3a4 Nombre del nuevo proceso: C:\Windows\System32\winlogon.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x330 Nombre del proceso creador: C:\Windows\System32\smss.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 504 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:33.571 Record ID : 290501 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x3d0 Nombre del nuevo proceso: C:\Windows\System32\services.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x354 Nombre del proceso creador: C:\Windows\System32\wininit.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 500 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:33.934 Record ID : 290502 Event ID : 4688 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x3E7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso: 0x3e4 Nombre del nuevo proceso: C:\Windows\System32\lsass.exe Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16-16384 Identificador del proceso creador: 0x354 Nombre del proceso creador: C:\Windows\System32\wininit.exe Línea de comandos de proceso: El tipo de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token elevado cuando se configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como administrador. Opcode : Task : Process Creation (13312) Keywords : Auditoría correcta Process ID : 4 Thread ID : 504 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:34.222 Record ID : 290503 Event ID : 4608 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el subsistema de auditoría. Opcode : Task : Security State Change (12288) Keywords : Auditoría correcta Process ID : 996 Thread ID : 1000 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:34.298 Record ID : 290504 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: - Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x4 Nombre de proceso: Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paquete de autenticación: - Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 1000 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.173 Record ID : 290505 Event ID : 4902 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0xC136 Opcode : Task : Audit Policy Change (13568) Keywords : Auditoría correcta Process ID : 996 Thread ID : 128 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.583 Record ID : 290506 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.583 Record ID : 290507 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.583 Record ID : 290508 Event ID : 4648 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Host GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0x354 Nombre de proceso: C:\Windows\System32\wininit.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.583 Record ID : 290509 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: Sí Token elevado: No Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Host Id. de inicio de sesión: 0xC2EA Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x354 Nombre de proceso: C:\Windows\System32\wininit.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.589 Record ID : 290510 Event ID : 4648 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Host GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0x3a4 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.589 Record ID : 290511 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: Sí Token elevado: No Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Host Id. de inicio de sesión: 0xC30E Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3a4 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.841 Record ID : 290512 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:35.841 Record ID : 290513 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:36.477 Record ID : 290514 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: NETWORK SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:36.477 Record ID : 290515 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-20 Nombre de cuenta: NETWORK SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E4 Privilegios: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:37.247 Record ID : 290516 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:37.247 Record ID : 290517 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:38.532 Record ID : 290518 Event ID : 4648 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manager GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0x3a4 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:38.532 Record ID : 290519 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: Sí Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x120BE Inicio de sesión vinculado: 0x120EE Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3a4 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:38.532 Record ID : 290520 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: Sí Token elevado: No Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x120EE Inicio de sesión vinculado: 0x120BE Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3a4 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:38.532 Record ID : 290521 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x120BE Privilegios: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:38.532 Record ID : 290522 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x120EE Privilegios: SeAssignPrimaryTokenPrivilege SeAuditPrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.159 Record ID : 290523 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.159 Record ID : 290524 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Privilegios: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.163 Record ID : 290525 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.163 Record ID : 290526 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.512 Record ID : 290527 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.512 Record ID : 290528 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.525 Record ID : 290529 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:40.525 Record ID : 290530 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:42.093 Record ID : 290531 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:42.093 Record ID : 290532 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:43.286 Record ID : 290533 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:43.286 Record ID : 290534 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:43.851 Record ID : 290535 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:43.851 Record ID : 290536 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:44.850 Record ID : 290537 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:44.850 Record ID : 290538 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:44.940 Record ID : 290539 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:44.940 Record ID : 290540 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:48.076 Record ID : 290541 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:48.076 Record ID : 290542 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:52.876 Record ID : 290543 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:52.876 Record ID : 290544 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:54.147 Record ID : 290545 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:54.147 Record ID : 290546 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:54.465 Record ID : 290547 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:54.465 Record ID : 290548 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.014 Record ID : 290549 Event ID : 5033 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : El controlador de Firewall de Windows se inició correctamente. Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 4 Thread ID : 516 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.976 Record ID : 108333 Event ID : 7000 Level : Error Channel : System Provider : Service Control Manager Description : El servicio Ds3Service no pudo iniciarse debido al siguiente error: El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : Clásico Process ID : 976 Thread ID : 1300 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.986 Record ID : 290550 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.986 Record ID : 290551 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.988 Record ID : 290552 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.988 Record ID : 290553 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.988 Record ID : 290554 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.988 Record ID : 290555 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.990 Record ID : 290556 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.990 Record ID : 290557 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.990 Record ID : 290558 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.990 Record ID : 290559 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.990 Record ID : 290560 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:55.990 Record ID : 290561 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:56.127 Record ID : 290562 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:56.127 Record ID : 290563 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:56.128 Record ID : 290564 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:56.128 Record ID : 290565 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:56.129 Record ID : 919347 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalService, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:14:56.148 Record ID : 290566 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:56.149 Record ID : 290567 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:14:59.589 Record ID : 331 Event ID : 2000 Level : 16 Channel : Microsoft-Windows-WebAuthN/Operational Provider : Microsoft-Windows-WebAuthN Description : El servicio Ctap se inició correctamente. Opcode : Start (10) Task : Ctap Service (500) Keywords : Ctap Process ID : 3168 Thread ID : 3412 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:00.436 Record ID : 290568 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:00.436 Record ID : 290569 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:00.820 Record ID : 72820 Event ID : 106 Level : Undefined Channel : Application Provider : LogMeIn Guardian Description : The LogMeIn Guardian service has issued a status message: 'Service started'. Opcode : Task : General (1) Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:15:01.849 Record ID : 290570 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-20 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E4 Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0xc60 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:01.850 Record ID : 290571 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-20 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E4 Grupo: Id. de seguridad: S-1-5-32-551 Nombre de grupo: Operadores de copia de seguridad Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0xc60 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:02.583 Record ID : 290572 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:02.583 Record ID : 290573 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:03.088 Record ID : 919395 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalService, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:03.198 Record ID : 919457 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122} not in table Function: MemoryTimerService::CancelTimerWithId Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4204 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:05.067 Record ID : 290574 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:05.067 Record ID : 290575 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:05.880 Record ID : 290576 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:05.880 Record ID : 290577 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:06.136 Record ID : 290578 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0xc70 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:06.136 Record ID : 290579 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-551 Nombre de grupo: Operadores de copia de seguridad Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0xc70 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:07.619 Record ID : 290580 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:07.619 Record ID : 290581 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 484 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:10.718 Record ID : 2202 Event ID : 1025 Level : Warning Channel : Microsoft-Windows-SMBServer/Operational Provider : Microsoft-Windows-SMBServer Description : Se han marcado uno o varios recursos compartidos o canalizaciones con nombre para el acceso de usuarios anónimos. Esto aumenta el riesgo de seguridad del equipo al permitir que los usuarios no autenticados se conecten a este servidor. Clave del Registro: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters Valores del Registro: NullSessionPipes, NullSessionShares Valor predeterminado: Vacío (o no presente) Valor actual: No vacío Guía: Debería esperar este evento cuando modifique los valores predeterminados NullSessionShares y NullSessionPipes. En un servidor de archivos típico, estas configuraciones no existen o no contienen valores, lo que es la configuración más segura. De forma predeterminada, los controladores de dominio rellenan la entrada NullSessionShares con netlogon, samr y lsarpc para permitir métodos de acceso heredados. Opcode : Task : 1025 Keywords : 0x2000000000000008 Process ID : 4228 Thread ID : 4400 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:15:16.095 Record ID : 290582 Event ID : 5024 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : El servicio Firewall de Windows se inició correctamente. Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:16.440 Record ID : 33300 Event ID : 5861 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Espacio de nombres = //./root/subscription; Eventfilter = SCM Event Log Filter (consulta su id. de evento de activación:5859); Consumidor = NTEventLogEventConsumer="SCM Event Log Consumer"; PossibleCause = Binding EventFilter: instance of __EventFilter { CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; EventNamespace = "root\\cimv2"; Name = "SCM Event Log Filter"; Query = "select * from MSFT_SCMEventLogEvent"; QueryLanguage = "WQL"; }; Perm. Consumer: instance of NTEventLogEventConsumer { Category = 0; CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; EventType = 1; Name = "SCM Event Log Consumer"; NameOfUserSIDProperty = "sid"; SourceName = "Service Control Manager"; }; Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5284 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:15:17.146 Record ID : 809 Event ID : 1030 Level : Warning Channel : Microsoft-Windows-WFP/Operational Provider : Microsoft-Windows-WFP Description : Transaction Watchdog Timeout The filtering engine has exceeded the configured threshold to process a transaction. This could indicate a suboptimal policy configuration that may cause temporary network outages. Owning Process ID: 4088 Transaction Time (msec): 937 Transaction Commit Time (msec): 0 Configured Threshold (msec): 500 Opcode : Task : Keywords : 0x4000004000000000 Process ID : 3040 Thread ID : 5136 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:17.675 Record ID : 33301 Event ID : 5859 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Namespace = //./root/CIMV2; NotificationQuery = select * from MSFT_SCMEventLogEvent; OwnerName = S-1-5-32-544; HostProcessID = 3184; Provider= SCM Event Provider, queryID = 0; PossibleCause = Permanent Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5284 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:15:17.997 Record ID : 33302 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor CIMWin32 se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %systemroot%\system32\wbem\cimwin32.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5212 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:18.674 Record ID : 33303 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 4080; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT SID FROM Win32_Account WHERE Name = 'LOCAL SERVICE'; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:15:18.757 Record ID : 33304 Event ID : 5860 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Namespace = ROOT\CIMV2; NotificationQuery = SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' AND (TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'AfterFx.exe' OR TargetInstance.Name = 'Adobe Encore.exe' OR TargetInstance.Name = 'Bridge.exe' OR TargetInstance.Name = 'Contribute.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'Fireworks.exe' OR TargetInstance.Name = 'Flash.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'Adobe OnLocation.exe' OR TargetInstance.Name = 'Photoshop.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'Adobe Soundbooth CS5.exe' OR TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'EdgeAnimate.exe' OR TargetInstance.Name = 'Animate.exe' OR TargetInstance.Name = 'Flash.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'Acrobat.exe' OR TargetInstance.Name = 'FlashBuilder.exe' OR TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'Flash.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'InCopy.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'lightroom.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR TargetInstance.Name = 'Adobe Media Encoder.exe' OR TargetInstance.Name = 'Adobe Audition.exe' OR TargetInstance.Name = 'Adobe Audition CS6.exe' OR TargetInstance.Name = 'DeviceCentral.exe' OR TargetInstance.Name = 'Adobe Extension Manager.exe' OR TargetInstance.Name = 'FlashBuilder.exe' OR TargetInstance.Name = 'Flash.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'Fireworks.exe' OR TargetInstance.Name = 'Acrobat.exe' OR TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'InCopy.exe' OR TargetInstance.Name = 'lightroom.exe' OR TargetInstance.Name = 'Muse.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'SpeedGrade.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'Adobe Media Encoder.exe' OR TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'Animate.exe' OR TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name = 'Photoshop.exe' OR TargetInstance.Name = 'Adobe Prelude.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'Character Animator.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'lightroomcc.exe' OR TargetInstance.Name = 'Dimension CC.exe' OR TargetInstance.Name = 'XD CC.exe' OR TargetInstance.Name = 'CreativeSDKAppServiceClient.exe' OR TargetInstance.Name = 'XD CC.exe' OR TargetInstance.Name = 'CreativeSDKAppServiceClient.exe' OR TargetInstance.Name = 'Character Animator.exe' OR TargetInstance.Name = 'AfterFX.exe' OR TargetInstance.Name = 'Adobe Audition CC.exe' OR TargetInstance.Name = 'InCopy.exe' OR TargetInstance.Name = 'InDesign.exe' OR TargetInstance.Name = 'lightroomcc.exe' OR TargetInstance.Name = 'Photoshop.exe' OR TargetInstance.Name = 'Adobe Premiere Pro.exe' OR TargetInstance.Name = 'Illustrator.exe' OR TargetInstance.Name = 'Dreamweaver.exe' OR TargetInstance.Name = 'lightroomcc.exe' OR TargetInstance.Name = 'Lightroom.exe' OR TargetInstance.Name = 'Acrobat.exe' OR TargetInstance.Name = 'InCopy.exe' OR TargetInstance.Name = 'AfterFX.exe'); UserName = NT AUTHORITY\SYSTEM; ClientProcessID = 3588, ClientMachine = DESKTOP-4LAFI5B; PossibleCause = Temporary Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 4140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:15:19.097 Record ID : 919463 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : hr: 0x80004001 Function: LicenseProxyService::AreAllRootLicensesLeased Source: onecoreuap\enduser\winstore\licensemanager\lib\proxy.cpp (926) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4208 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:19.590 Record ID : 290583 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:19.590 Record ID : 290584 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:20.787 Record ID : 290585 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:20.787 Record ID : 290586 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:21.967 Record ID : 33305 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor NetAdapterCim se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 6128; ProviderPath = %systemroot%\system32\wbem\NetAdapterCim.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 6128 Thread ID : 2528 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:23.116 Record ID : 33306 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor CIMWin32a se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %systemroot%\system32\wbem\wmipcima.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5464 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:15:25.651 Record ID : 290587 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:25.651 Record ID : 290588 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.663 Record ID : 290589 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.664 Record ID : 290590 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.664 Record ID : 290591 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.664 Record ID : 290592 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.665 Record ID : 290593 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.667 Record ID : 290594 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.667 Record ID : 290595 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.668 Record ID : 290596 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.668 Record ID : 290597 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.669 Record ID : 290598 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.703 Record ID : 290599 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.703 Record ID : 290600 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.704 Record ID : 290601 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.704 Record ID : 290602 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.705 Record ID : 290603 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.707 Record ID : 290604 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.707 Record ID : 290605 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.707 Record ID : 290606 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.708 Record ID : 290607 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:28.708 Record ID : 290608 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.716 Record ID : 290609 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.717 Record ID : 290610 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.717 Record ID : 290611 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.718 Record ID : 290612 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.718 Record ID : 290613 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.721 Record ID : 290614 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.721 Record ID : 290615 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.722 Record ID : 290616 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.722 Record ID : 290617 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.722 Record ID : 290618 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.790 Record ID : 290619 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.791 Record ID : 290620 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.791 Record ID : 290621 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.792 Record ID : 290622 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.792 Record ID : 290623 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.794 Record ID : 290624 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.795 Record ID : 290625 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.795 Record ID : 290626 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.795 Record ID : 290627 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:29.796 Record ID : 290628 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:30.153 Record ID : 290629 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuentas: WORKGROUP Id. de inicio de sesión: 0x3E7 Información del proceso: Id. de proceso: 3436 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:14:56.224323500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: 847ECDD3-046D-4EF0-93C8-B217B926EABA Tipo de clave: Clave de equipo. Información de la operación de archivo de clave: Ruta del archivo: C:\ProgramData\Microsoft\Crypto\Keys\c5f2a465a52a66f96f5a7bafcc9266b5_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Leer clave persistente del archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:30.317 Record ID : 290630 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: RSA Nombre de clave: 847ECDD3-046D-4EF0-93C8-B217B926EABA Tipo de clave: Clave de equipo. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.208 Record ID : 290631 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.209 Record ID : 290632 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.209 Record ID : 290633 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.209 Record ID : 290634 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.210 Record ID : 290635 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.212 Record ID : 290636 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.212 Record ID : 290637 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.213 Record ID : 290638 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.213 Record ID : 290639 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.214 Record ID : 290640 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.217 Record ID : 290641 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.217 Record ID : 290642 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.217 Record ID : 290643 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.218 Record ID : 290644 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.218 Record ID : 290645 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.220 Record ID : 290646 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.221 Record ID : 290647 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.221 Record ID : 290648 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.221 Record ID : 290649 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:33.222 Record ID : 290650 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.450 Record ID : 290651 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.450 Record ID : 290652 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.451 Record ID : 290653 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.451 Record ID : 290654 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.452 Record ID : 290655 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.454 Record ID : 290656 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.454 Record ID : 290657 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.455 Record ID : 290658 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.455 Record ID : 290659 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:34.456 Record ID : 290660 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:46.558 Record ID : 72832 Event ID : 64 Level : Warning Channel : Application Provider : Microsoft-Windows-CertificateServicesClient-AutoEnrollment Description : El certificado para sistema local con huella digital 28 75 c2 01 9d e6 dc de 49 17 7f f1 e8 bd 57 1e b0 cb 22 7d está a punto de expirar o ya expiró. Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:15:56.215 Record ID : 72844 Event ID : 902 Level : Undefined Channel : Application Provider : Microsoft-Windows-Security-SPP Description : Se inició el servicio de protección de software. 10.0.17134.915 Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:04.497 Record ID : 919469 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : hr: 0x800705b4 Function: SingleUserStoredIdentitySnapshot::Wait Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (448) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 3420 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:16:04.515 Record ID : 919471 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : hr: 0x800705b4 Function: LicenseManagerCore::RenewLease Source: onecoreuap\enduser\winstore\licensemanager\lib\managercore.cpp (556) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 3420 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:16:04.584 Record ID : 919481 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122} not in table Function: MemoryTimerService::CancelTimerWithId Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 3420 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:16:05.981 Record ID : 72849 Event ID : 8198 Level : Error Channel : Application Provider : Microsoft-Windows-Security-SPP Description : Error de la activación de licencia (slui.exe) con el siguiente código: hr=0x8007139F Argumentos de línea de comandos: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:07.044 Record ID : 72851 Event ID : 8233 Level : Warning Channel : Application Provider : Microsoft-Windows-Security-SPP Description : El motor de reglas informó de una activación de VL con errores. Motivo:0xC004F074 Id. aplicación = 0ff1ce15-a989-479d-af46-f275c6370663, id. SKU = d450596f-894d-49e0-966a-fd39ed4c4c64 Desencadenador=NetworkAvailable Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:13.244 Record ID : 2667 Event ID : 808 Level : Warning Channel : Microsoft-Windows-TaskScheduler/Maintenance Provider : Microsoft-Windows-TaskScheduler Description : La tarea de mantenimiento "NT TASK\Microsoft\Windows\.NET Framework\.NET Framework NGEN v4.0.30319 64 Critical" solicita la reactivación del equipo durante la siguiente ejecución de mantenimiento regular. Opcode : Task : Se solicitó la reactivación del mantenimiento (808) Keywords : 0x0800000000000000 Process ID : 1816 Thread ID : 2428 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:13.630 Record ID : 167 Event ID : 2 Level : Undefined Channel : Setup Provider : Microsoft-Windows-Servicing Description : Se cambió el paquete KB4512501 correctamente al estado Instalado. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 2264 Thread ID : 2292 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:13.731 Record ID : 2668 Event ID : 808 Level : Warning Channel : Microsoft-Windows-TaskScheduler/Maintenance Provider : Microsoft-Windows-TaskScheduler Description : La tarea de mantenimiento "NT TASK\Microsoft\Windows\.NET Framework\.NET Framework NGEN v4.0.30319 Critical" solicita la reactivación del equipo durante la siguiente ejecución de mantenimiento regular. Opcode : Task : Se solicitó la reactivación del mantenimiento (808) Keywords : 0x0800000000000000 Process ID : 1816 Thread ID : 2428 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:18.747 Record ID : 72854 Event ID : 8198 Level : Error Channel : Application Provider : Microsoft-Windows-Security-SPP Description : Error de la activación de licencia (slui.exe) con el siguiente código: hr=0x8007139F Argumentos de línea de comandos: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:23.189 Record ID : 290661 Event ID : 4648 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0x8a8 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:23.189 Record ID : 290662 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E6CC Inicio de sesión vinculado: 0x7E705 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x8a8 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación de trabajo: DESKTOP-4LAFI5B Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:23.189 Record ID : 290663 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: No Token elevado: No Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Inicio de sesión vinculado: 0x7E6CC Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x8a8 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación de trabajo: DESKTOP-4LAFI5B Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:23.189 Record ID : 290664 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E6CC Privilegios: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:24.799 Record ID : 290665 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x754 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:26.437 Record ID : 622898 Event ID : 6509 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync-Desktop Description : shell\roaming\settingsync\settingprofilehandler.cpp(89)\SettingSync.dll!00007FFC18C3AAB7: (caller: 00007FFC1A85B21B) LogHr(1) tid(7a8) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 1876 Thread ID : 1960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:16:26.437 Record ID : 622899 Event ID : 6509 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync-Desktop Description : shell\roaming\settingsync\settingprofilehandler.cpp(24)\SettingSync.dll!00007FFC18C33BEE: (caller: 00007FFC1A85B21B) LogHr(2) tid(7a8) 800704EC La directiva de grupo bloquea a este programa. Para obtener más información, póngase en contacto con el administrador del sistema. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 1876 Thread ID : 1960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:16:29.845 Record ID : 290666 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.845 Record ID : 290667 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.846 Record ID : 290668 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.846 Record ID : 290669 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.846 Record ID : 290670 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.849 Record ID : 290671 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.849 Record ID : 290672 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.850 Record ID : 290673 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.850 Record ID : 290674 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:29.851 Record ID : 290675 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x1770 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:32.113 Record ID : 290676 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:32.113 Record ID : 290677 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:36.001 Record ID : 290678 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:36.001 Record ID : 290679 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:39.108 Record ID : 72858 Event ID : 8233 Level : Warning Channel : Application Provider : Microsoft-Windows-Security-SPP Description : El motor de reglas informó de una activación de VL con errores. Motivo:0xC004F074 Id. aplicación = 0ff1ce15-a989-479d-af46-f275c6370663, id. SKU = d450596f-894d-49e0-966a-fd39ed4c4c64 Desencadenador=UserLogon(1) Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:40.528 Record ID : 33307 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select BIOSVersion From Win32_BIOS; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 3340 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:40.884 Record ID : 33308 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select DeviceID,CurrentClockSpeed,MaxClockSpeed, ExtClock From Win32_Processor ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:42.906 Record ID : 919486 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : hr: 0x80070525 Function: WaitForOperation Source: onecoreuap\enduser\winstore\licensemanager\inc\util.h (294) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4204 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:16:42.922 Record ID : 919487 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : No authenticated user, no ticket. (0x80070525) Function: CaptureLegacyMSATicket Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (125) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4204 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:16:42.923 Record ID : 919488 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : No user tickets captured for S-1-5-19, so this might not end well. Function: SingleUserStoredIdentitySnapshot::CaptureIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (416) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4204 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:16:44.704 Record ID : 290680 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Leer clave persistente del archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:44.738 Record ID : 290681 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:44.739 Record ID : 290682 Event ID : 5059 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Tiempo de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información adicional: Operación: Exportar la clave criptográfica persistente. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.369 Record ID : 290683 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Leer clave persistente del archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.370 Record ID : 290684 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.439 Record ID : 290685 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Eliminar archivo de clave. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.544 Record ID : 290686 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x80090016 Opcode : Task : System Integrity (12290) Keywords : Error de auditoría Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.547 Record ID : 290687 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Escribir clave persistente en el archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.547 Record ID : 290688 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Crear clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.548 Record ID : 290689 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Leer clave persistente del archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.548 Record ID : 290690 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.549 Record ID : 290691 Event ID : 5059 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Tiempo de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información adicional: Operación: Exportar la clave criptográfica persistente. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.549 Record ID : 290692 Event ID : 5059 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Tiempo de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información adicional: Operación: Exportar la clave criptográfica persistente. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:45.617 Record ID : 290693 Event ID : 5059 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Tiempo de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información adicional: Operación: Exportar la clave criptográfica persistente. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:46.493 Record ID : 290694 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:46.493 Record ID : 290695 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:48.490 Record ID : 33309 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::CreateInstanceEnum - root\cimv2 : Win32_Processor; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:51.462 Record ID : 290696 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x4a0 Nombre de proceso: C:\Windows\System32\LogonUI.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:51.566 Record ID : 290697 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1004 Nombre de cuenta: Otros Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x4a0 Nombre de proceso: C:\Windows\System32\LogonUI.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:52.276 Record ID : 33310 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select DeviceID,CurrentClockSpeed,MaxClockSpeed, ExtClock From Win32_Processor ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:54.489 Record ID : 290698 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: 3d8a309f3696756a Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b7f3d1cb6994bcc71629d942aa5e69de_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Leer clave persistente del archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:54.525 Record ID : 290699 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: 3d8a309f3696756a Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:54.526 Record ID : 290700 Event ID : 5059 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: LOCAL SERVICE Dominio de cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3E5 Información del proceso: Id. de proceso: 7840 Tiempo de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:42.476753500Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: 3d8a309f3696756a Tipo de clave: Clave de usuario. Información adicional: Operación: Exportar la clave criptográfica persistente. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:55.876 Record ID : 290701 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:55.876 Record ID : 290702 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:56.109 Record ID : 72864 Event ID : 8198 Level : Error Channel : Application Provider : Microsoft-Windows-Security-SPP Description : Error de la activación de licencia (slui.exe) con el siguiente código: hr=0xC004F074 Argumentos de línea de comandos: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1 Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:16:56.512 Record ID : 33311 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor WMIProv se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 3580; ProviderPath = %systemroot%\system32\wbem\wmiprov.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3580 Thread ID : 4836 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:57.094 Record ID : 7112 Event ID : 8025 Level : 16 Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : El servicio Microsoft Passport se inició correctamente. Opcode : Informational (12) Task : Service Start (6) Keywords : 0x8000000000000001 Process ID : 992 Thread ID : 7788 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:16:58.393 Record ID : 7113 Event ID : 8025 Level : 16 Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : El servicio Microsoft Passport Container se inició correctamente. Opcode : Informational (12) Task : Service Start (6) Keywords : 0x8000000000000001 Process ID : 8076 Thread ID : 8108 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:00.113 Record ID : 69200 Event ID : 6114 Level : Error Channel : Microsoft-Windows-LiveId/Operational Provider : Microsoft-Windows-LiveId Description : Solicitud SOAP del tipo Service para el CID de usuario '3d8a309f3696756a' en el entorno production recibió el siguiente código de error del servidor de cuenta de Microsoft: 0x800478AD. Opcode : Task : Keywords : Error Process ID : 6172 Thread ID : 6192 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:01.281 Record ID : 33312 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select ChassisTypes From Win32_SystemEnclosure; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:01.298 Record ID : 290703 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:01.298 Record ID : 290704 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:02.395 Record ID : 69207 Event ID : 6114 Level : Error Channel : Microsoft-Windows-LiveId/Operational Provider : Microsoft-Windows-LiveId Description : Solicitud SOAP del tipo Service para el CID de usuario '3d8a309f3696756a' en el entorno production recibió el siguiente código de error del servidor de cuenta de Microsoft: 0x800478AD. Opcode : Task : Keywords : Error Process ID : 6172 Thread ID : 6192 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:02.915 Record ID : 69210 Event ID : 6114 Level : Error Channel : Microsoft-Windows-LiveId/Operational Provider : Microsoft-Windows-LiveId Description : Solicitud SOAP del tipo Service para el CID de usuario '3d8a309f3696756a' en el entorno production recibió el siguiente código de error del servidor de cuenta de Microsoft: 0x800478AD. Opcode : Task : Keywords : Error Process ID : 6172 Thread ID : 6192 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:04.724 Record ID : 290705 Event ID : 4648 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0x8a8 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:04.724 Record ID : 290706 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0xD325D Inicio de sesión vinculado: 0xD328A Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x8a8 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación de trabajo: DESKTOP-4LAFI5B Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:04.724 Record ID : 290707 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: No Token elevado: No Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0xD328A Inicio de sesión vinculado: 0xD325D Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x8a8 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación de trabajo: DESKTOP-4LAFI5B Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:04.724 Record ID : 290708 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0xD325D Privilegios: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:04.724 Record ID : 290709 Event ID : 4634 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0xD328A Tipo de inicio de sesión: 2 Este evento se genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo. Opcode : Task : Logoff (12545) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:04.724 Record ID : 290710 Event ID : 4634 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0xD325D Tipo de inicio de sesión: 2 Este evento se genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo. Opcode : Task : Logoff (12545) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:05.612 Record ID : 69217 Event ID : 6114 Level : Error Channel : Microsoft-Windows-LiveId/Operational Provider : Microsoft-Windows-LiveId Description : Solicitud SOAP del tipo Service para el CID de usuario '3d8a309f3696756a' en el entorno production recibió el siguiente código de error del servidor de cuenta de Microsoft: 0x800478AD. Opcode : Task : Keywords : Error Process ID : 6172 Thread ID : 6192 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:10.362 Record ID : 33313 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor UserProfileProvider se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %systemroot%\system32\profprov.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5660 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:30.859 Record ID : 7115 Event ID : 8210 Level : 16 Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : Windows Hello para empresas completó correctamente la comprobación de requisitos previos del Escritorio remoto. Opcode : Informational (12) Task : Prerequisites Check (12) Keywords : 0x8000000000000001 Process ID : 7800 Thread ID : 7892 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:30.859 Record ID : 7116 Event ID : 7201 Level : Error Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : The Primary Account Primary Refresh Token prerequisite check failed. Opcode : Informational (12) Task : Prerequisites Check (12) Keywords : 0x8000000000000001 Process ID : 7800 Thread ID : 7892 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:30.859 Record ID : 7117 Event ID : 7054 Level : Error Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : Windows Hello for Business prerequisites check failed. Error: 0x1 Opcode : Stop (11) Task : Prerequisites Check (12) Keywords : 0x8000000000000001 Process ID : 7800 Thread ID : 7892 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:30.940 Record ID : 746 Event ID : 360 Level : Warning Channel : Microsoft-Windows-User Device Registration/Admin Provider : Microsoft-Windows-User Device Registration Description : Windows Hello for Business provisioning will not be launched. Device is AAD joined ( AADJ or DJ++ ): Not Tested User has logged on with AAD credentials: No Windows Hello for Business policy is enabled: Not Tested Windows Hello for Business post-logon provisioning is enabled: Not Tested Local computer meets Windows hello for business hardware requirements: Not Tested User is not connected to the machine via Remote Desktop: Yes User certificate for on premise auth policy is enabled: Not Tested Machine is governed by none policy. See https://go.microsoft.com/fwlink/?linkid=832647 for more details. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 7800 Thread ID : 7892 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:35.502 Record ID : 11677 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070005 al comprobar la carpeta conocida {B97D20BB-F46A-4C97-BA10-5E3608430854} con la ruta de acceso 'C:\Users\amd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 7628 Thread ID : 6632 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:35.503 Record ID : 11678 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070005 al comprobar la carpeta conocida {82A5EA35-D9CD-47C5-9629-E15D2F714E6E} con la ruta de acceso 'C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 7628 Thread ID : 6632 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:40.531 Record ID : 33314 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select DeviceID,CurrentClockSpeed,MaxClockSpeed, ExtClock From Win32_Processor ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:41.131 Record ID : 33315 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 1408; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select DeviceID,CurrentClockSpeed,MaxClockSpeed, ExtClock From Win32_Processor ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:44.586 Record ID : 11679 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070005 al comprobar la carpeta conocida {B97D20BB-F46A-4C97-BA10-5E3608430854} con la ruta de acceso 'C:\Users\amd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 6840 Thread ID : 8308 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:44.586 Record ID : 11680 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070005 al comprobar la carpeta conocida {82A5EA35-D9CD-47C5-9629-E15D2F714E6E} con la ruta de acceso 'C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 6840 Thread ID : 8308 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:45.835 Record ID : 38874 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x105: database is locked Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 2388 Thread ID : 2892 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:46.075 Record ID : 38875 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670008: [sqlite3_prepare] #1 Database 24B3B433120: Try 1 (171ms) database is locked : SQL PRAGMA journal_mode; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 2388 Thread ID : 2892 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:47.631 Record ID : 5224 Event ID : 79 Level : Critical Channel : Microsoft-Windows-AppModel-Runtime/Admin Provider : Microsoft-Windows-AppModel-Runtime Description : 0x3D55: La información de tiempo de ejecución de la familia de paquete Microsoft.Microsoft3DViewer_8wekyb3d8bbwe está dañada. Se está intentando corregir el problema. Opcode : Task : Keywords : Process Process ID : 6840 Thread ID : 8272 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:47.631 Record ID : 5225 Event ID : 79 Level : Critical Channel : Microsoft-Windows-AppModel-Runtime/Admin Provider : Microsoft-Windows-AppModel-Runtime Description : 0x3D55: La información de tiempo de ejecución de la familia de paquete Microsoft.Microsoft3DViewer_8wekyb3d8bbwe está dañada. Se está intentando corregir el problema. Opcode : Task : Keywords : Process Process ID : 6840 Thread ID : 8284 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:47.776 Record ID : 38879 Event ID : 253 Level : Error Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Error 0x80070005: No se pudo eliminar Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Families\windows.immersivecontrolpanel_cw5n1h2txyewy\windows.immersivecontrolpanel_10.0.1.1000_neutral_neutral_cw5n1h2txyewy para el usuario . Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 2388 Thread ID : 5524 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:47.776 Record ID : 38880 Event ID : 253 Level : Error Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Error 0x80070005: No se pudo eliminar Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Families\windows.immersivecontrolpanel_cw5n1h2txyewy\windows.immersivecontrolpanel_10.0.1.1000_neutral_neutral_cw5n1h2txyewy para el usuario . Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 2388 Thread ID : 2892 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:47.776 Record ID : 38883 Event ID : 253 Level : Error Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Error 0x80070005: No se pudo eliminar Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Packages\windows.immersivecontrolpanel_10.0.1.1000_neutral_neutral_cw5n1h2txyewy para el usuario . Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 2388 Thread ID : 5524 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:47.776 Record ID : 38884 Event ID : 253 Level : Error Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Error 0x80070005: No se pudo eliminar Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Packages\windows.immersivecontrolpanel_10.0.1.1000_neutral_neutral_cw5n1h2txyewy para el usuario . Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 2388 Thread ID : 2892 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:49.140 Record ID : 33316 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 5892; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select DeviceID,CurrentClockSpeed,MaxClockSpeed, ExtClock From Win32_Processor ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:49.206 Record ID : 33317 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 5892; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : Select ChassisTypes From Win32_SystemEnclosure; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 3340 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:49.221 Record ID : 290711 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:49.221 Record ID : 290712 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:50.861 Record ID : 33318 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor NetAdapterCim se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 8576; ProviderPath = %systemroot%\system32\wbem\NetAdapterCim.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 8576 Thread ID : 7988 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:53.735 Record ID : 290713 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:53.735 Record ID : 290714 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:54.877 Record ID : 69233 Event ID : 6114 Level : Error Channel : Microsoft-Windows-LiveId/Operational Provider : Microsoft-Windows-LiveId Description : Solicitud SOAP del tipo Service para el CID de usuario '3d8a309f3696756a' en el entorno production recibió el siguiente código de error del servidor de cuenta de Microsoft: 0x800478AD. Opcode : Task : Keywords : Error Process ID : 6172 Thread ID : 7384 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:55.099 Record ID : 919566 Event ID : 2007 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Install-Agent Description : InstallService InProc Caller. Current Thread not impersonating. Using current process (LocalSystem) Error: Unknown HResult Error code: 0xefffffff Función: CallerContext::_getCallerToken Origen: onecoreuap\enduser\winstore\installservice\lib\callercontext.cpp (65) Opcode : Warning (13) Task : Service (2002) Keywords : 0x8000000020000000 Process ID : 9456 Thread ID : 9820 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:55.103 Record ID : 919568 Event ID : 2007 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Install-Agent Description : InstallService InProc Caller. Current Thread not impersonating. Using current process (LocalSystem) Error: Unknown HResult Error code: 0xefffffff Función: CallerContext::_getCallerToken Origen: onecoreuap\enduser\winstore\installservice\lib\callercontext.cpp (65) Opcode : Warning (13) Task : Service (2002) Keywords : 0x8000000020000000 Process ID : 9456 Thread ID : 9820 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:55.859 Record ID : 919573 Event ID : 2007 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Install-Agent Description : No CV passed in - generating a new one. Error: Unknown HResult Error code: 0xefffffff Función: WindowsUpdate::CommonTelemetry::GenerateIfMissingCorrelationVector Origen: onecoreuap\enduser\winstore\installservice\lib\commontelemetry.cpp (193) Opcode : Warning (13) Task : Service (2002) Keywords : 0x8000000020000000 Process ID : 8504 Thread ID : 9012 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:56.158 Record ID : 290715 Event ID : 5058 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuentas: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información del proceso: Id. de proceso: 7052 Hora de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:29.591113300Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información de la operación de archivo de clave: Ruta del archivo: C:\Users\amd\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_e7f86fad-a3c6-430b-8f40-ee8dfe75ad9e Operación: Leer clave persistente del archivo. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:56.555 Record ID : 290716 Event ID : 5061 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0 Opcode : Task : System Integrity (12290) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:56.722 Record ID : 290717 Event ID : 5059 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuentas: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información del proceso: Id. de proceso: 7052 Tiempo de creación del proceso: ‎2019‎-‎08‎-‎16T18:16:29.591113300Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo de clave: Clave de usuario. Información adicional: Operación: Exportar la clave criptográfica persistente. Código de retorno: 0x0 Opcode : Task : Other System Events (12292) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:17:56.978 Record ID : 919659 Event ID : 2007 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Install-Agent Description : OemIdentification: (fallback) https://storeedgefd.dsx.mp.microsoft.com/v7.0/oemdiscovery?oemId={oemId}&scmId={scmId}&phoneManufacturerName={phoneManufacturerName}&smBiosManufacturerName={smBiosManufacturerName}&phoneDeviceModel={phoneDeviceModel}&smBiosDm={smBiosDm} Error: Unknown HResult Error code: 0xefffffff Función: SlsInit Origen: onecoreuap\enduser\winstore\installservice\lib\sls.cpp (219) Opcode : Warning (13) Task : Service (2002) Keywords : 0x8000000020000000 Process ID : 9456 Thread ID : 9916 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:17:58.817 Record ID : 919665 Event ID : 2004 Level : Error Channel : Microsoft-Windows-Store/Operational Provider : Windows-ApplicationModel-Store-SDK Description : Error: El parámetro no es correcto. Función: ClientProcessUtils::GetCallingAppPackageFamilyName Origen: \clientprocessutils.cpp (261) Opcode : Error (12) Task : Compra desde la aplicación (2001) Keywords : 0x8000000000000002 Process ID : 8324 Thread ID : 8388 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:58.817 Record ID : 919666 Event ID : 2004 Level : Error Channel : Microsoft-Windows-Store/Operational Provider : Windows-ApplicationModel-Store-SDK Description : ChkHr(CoGetCallContext(__uuidof(**(&spCallingProcessInfo)), IID_PPV_ARGS_Helper(&spCallingProcessInfo))) Error: No se puede tener acceso al contexto de llamada después de que se ha completado la llamada. Función: ClientProcessUtils::GetCallingAppSessionGuid Origen: \clientprocessutils.cpp (314) Opcode : Error (12) Task : Compra desde la aplicación (2001) Keywords : 0x8000000000000002 Process ID : 8324 Thread ID : 8388 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:58.946 Record ID : 919726 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122} not in table Function: MemoryTimerService::CancelTimerWithId Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4204 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:58.975 Record ID : 87369 Event ID : 3023 Level : Warning Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : PDCActivation was used by process explorer.exe instead of SettingSyncHost Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 9960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:58.982 Record ID : 919731 Event ID : 2004 Level : Error Channel : Microsoft-Windows-Store/Operational Provider : Windows-ApplicationModel-Store-SDK Description : Error: El parámetro no es correcto. Función: ClientProcessUtils::GetCallingAppPackageFamilyName Origen: \clientprocessutils.cpp (261) Opcode : Error (12) Task : Compra desde la aplicación (2001) Keywords : 0x8000000000000002 Process ID : 8324 Thread ID : 8388 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:58.982 Record ID : 919732 Event ID : 2004 Level : Error Channel : Microsoft-Windows-Store/Operational Provider : Windows-ApplicationModel-Store-SDK Description : ChkHr(CoGetCallContext(__uuidof(**(&spCallingProcessInfo)), IID_PPV_ARGS_Helper(&spCallingProcessInfo))) Error: No se puede tener acceso al contexto de llamada después de que se ha completado la llamada. Función: ClientProcessUtils::GetCallingAppSessionGuid Origen: \clientprocessutils.cpp (314) Opcode : Error (12) Task : Compra desde la aplicación (2001) Keywords : 0x8000000000000002 Process ID : 8324 Thread ID : 8388 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:17:58.993 Record ID : 919792 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122} not in table Function: MemoryTimerService::CancelTimerWithId Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:58.995 Record ID : 919796 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalService, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:59.001 Record ID : 919833 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalService, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:17:59.003 Record ID : 919861 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122} not in table Function: MemoryTimerService::CancelTimerWithId Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 3420 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:18:02.057 Record ID : 87372 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : PDC deactivation not performed. Activation failed or activator was not initialized. PDC handle: 0000000000000000File onecoreuap\shell\roaming\cloudcommon\utils\pdchelper.cpp line 25 Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 9960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:02.057 Record ID : 87373 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : PDC deactivation not performed. Activation failed or activator was not initialized. PDC handle: 0000000000000000File onecoreuap\shell\roaming\cloudcommon\utils\pdchelper.cpp line 25 Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 9960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:02.775 Record ID : 87376 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : PDC deactivation not performed. Activation failed or activator was not initialized. PDC handle: 0000000000000000File onecoreuap\shell\roaming\cloudcommon\utils\pdchelper.cpp line 25 Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 9960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:05.966 Record ID : 33319 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor WmiPerfClass se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 3580; ProviderPath = C:\Windows\System32\wbem\WmiPerfClass.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3580 Thread ID : 4836 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:18:06.173 Record ID : 33320 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT ID FROM Win32_ServerFeature; ResultCode = 0x80041010; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 116 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:18:07.293 Record ID : 69241 Event ID : 6113 Level : Error Channel : Microsoft-Windows-LiveId/Operational Provider : Microsoft-Windows-LiveId Description : La llamada de RPC a la función WLIDGetKeyLatest devolvió el siguiente código de error: 0x800488A4. Opcode : Task : Keywords : Error Process ID : 6172 Thread ID : 7384 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:18:07.864 Record ID : 622911 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\settingsynccore\settingmonitor\cloudchangewnfmonitor.cpp(105)\settingsynccore.dll!00007FFBFD08B614: (caller: 00007FFC226A4413) ReturnHr(1) tid(1b3c) 8002802B No se ha encontrado el elemento. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 6972 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:07.864 Record ID : 87377 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(602)\OneDriveSettingSyncProvider.dll!00007FFBF1AC09F9: (caller: 00007FFBF1ABFA2B) ReturnHr(1) tid(242c) 8002802B No se ha encontrado el elemento. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:08.611 Record ID : 622912 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\settingsynccore\settingmonitor\cloudchangewnfmonitor.cpp(105)\settingsynccore.dll!00007FFBFD08B614: (caller: 00007FFC226A4413) ReturnHr(2) tid(1b3c) 8002802B No se ha encontrado el elemento. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 6972 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:08.611 Record ID : 87378 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(602)\OneDriveSettingSyncProvider.dll!00007FFBF1AC09F9: (caller: 00007FFBF1ABFA2B) ReturnHr(2) tid(242c) 8002802B No se ha encontrado el elemento. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:08.619 Record ID : 622913 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\settingsynccore\settingmonitor\cloudchangewnfmonitor.cpp(105)\settingsynccore.dll!00007FFBFD08B614: (caller: 00007FFC226A4413) ReturnHr(3) tid(1b3c) 8002802B No se ha encontrado el elemento. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 7800 Thread ID : 6972 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:08.619 Record ID : 87379 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(602)\OneDriveSettingSyncProvider.dll!00007FFBF1AC09F9: (caller: 00007FFBF1ABFA2B) ReturnHr(3) tid(242c) 8002802B No se ha encontrado el elemento. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:18.410 Record ID : 290718 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:18:18.410 Record ID : 290719 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:18:29.151 Record ID : 72867 Event ID : 903 Level : Undefined Channel : Application Provider : Microsoft-Windows-Security-SPP Description : Se detuvo el servicio de protección de software. Opcode : Task : Keywords : Clásico Process ID : Thread ID : Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:18:47.856 Record ID : 108339 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 2000 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:18:53.426 Record ID : 87380 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudsync\cloudsyncprovider\lib\onedrivewnsregistrar.cpp(387)\OneDriveSettingSyncProvider.dll!00007FFBF1AD5E2A: (caller: 00007FFBF1AD4A23) ReturnHr(4) tid(242c) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:53.426 Record ID : 87381 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudsync\cloudsyncprovider\lib\onedrivewnsregistrar.cpp(88)\OneDriveSettingSyncProvider.dll!00007FFBF1AD4A82: (caller: 00007FFBF1AC2468) ReturnHr(5) tid(242c) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:53.426 Record ID : 87382 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(889)\OneDriveSettingSyncProvider.dll!00007FFBF1AC24D0: (caller: 00007FFBF1ABFBDB) ReturnHr(6) tid(242c) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:53.426 Record ID : 87383 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(707)\OneDriveSettingSyncProvider.dll!00007FFBF1ABFBF7: (caller: 00007FFBF1ABF2C5) LogHr(1) tid(242c) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9260 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:18:57.218 Record ID : 2669 Event ID : 808 Level : Warning Channel : Microsoft-Windows-TaskScheduler/Maintenance Provider : Microsoft-Windows-TaskScheduler Description : La tarea de mantenimiento "NT TASK\Microsoft\Windows\.NET Framework\.NET Framework NGEN v4.0.30319 64 Critical" solicita la reactivación del equipo durante la siguiente ejecución de mantenimiento regular. Opcode : Task : Se solicitó la reactivación del mantenimiento (808) Keywords : 0x0800000000000000 Process ID : 1816 Thread ID : 4164 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:19:25.937 Record ID : 108341 Event ID : 7022 Level : Error Channel : System Provider : Service Control Manager Description : El servicio Optimización de entrega no respondió después de iniciar. Opcode : Task : Keywords : Clásico Process ID : 976 Thread ID : 5856 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:03.101 Record ID : 919865 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalService, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:20:03.109 Record ID : 919902 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalService, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (538) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:20:03.111 Record ID : 919930 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Trying to remove timer {A6005C54-4283-4D92-5ED9-8E0EF72C4122} not in table Function: MemoryTimerService::CancelTimerWithId Source: onecoreuap\enduser\winstore\licensemanager\lib\memorytimer.cpp (80) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 4204 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:20:05.033 Record ID : 1209 Event ID : 4 Level : Warning Channel : Microsoft-Windows-Kernel-EventTracing/Admin Provider : Microsoft-Windows-Kernel-EventTracing Description : Se alcanzó el tamaño máximo de archivo para la sesión "ReadyBoot". Como resultado, es posible que se pierdan (que no se registren) los eventos en el archivo "C:\WINDOWS\Prefetch\ReadyBoot\ReadyBoot.etl". Actualmente el tamaño máximo de archivo está establecido en 20971520 bytes. Opcode : Write Buffer (10) Task : Logging (1) Keywords : Session Process ID : 4 Thread ID : 236 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:05.033 Record ID : 1210 Event ID : 3 Level : Error Channel : Microsoft-Windows-Kernel-EventTracing/Admin Provider : Microsoft-Windows-Kernel-EventTracing Description : Se detuvo la sesión "ReadyBoot" con el siguiente error: 0xC0000188 Opcode : Stop (14) Task : Session (2) Keywords : Session Process ID : 4 Thread ID : 236 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:23.921 Record ID : 290720 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:23.921 Record ID : 290721 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:24.722 Record ID : 108343 Event ID : 10016 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : La configuración de permisos específico de la aplicación no concede el permiso Activación Local para la aplicación de servidor COM con CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} y APPID {8BC3F05E-D86B-11D0-A075-00C04FB68820} al usuario DESKTOP-4LAFI5B\Matoke con SID (S-1-5-21-1830811996-1437030023-4132568959-1001) en la dirección LocalHost (con LRPC) que se ejecuta en el contenedor de aplicaciones con SID Microsoft.Windows.ContentDeliveryManager_10.0.17134.1_neutral_neutral_cw5n1h2txyewy (S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 1136 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:20:26.584 Record ID : 4879 Event ID : 161 Level : Error Channel : Microsoft-Windows-WinRM/Operational Provider : Microsoft-Windows-WinRM Description : El cliente no puede conectarse con el destino especificado en la solicitud. Compruebe que el servicio del destino se esté ejecutando y que acepte solicitudes. Consulte los registros y la documentación del servicio WS-Management que se ejecuta en el destino, normalmente IIS o WinRM. Si el destino es el servicio WinRM, ejecute el siguiente comando en el destino para analizar y configurar el servicio WinRM: "winrm quickconfig". Opcode : Task : Autenticación de usuario (7) Keywords : Cliente Process ID : 10104 Thread ID : 8212 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:26.611 Record ID : 4880 Event ID : 142 Level : Error Channel : Microsoft-Windows-WinRM/Operational Provider : Microsoft-Windows-WinRM Description : Error en la operación Enumeration de WSMan, código de error 2150858770 Opcode : Detener (2) Task : Control de respuestas (10) Keywords : Cliente Process ID : 10104 Thread ID : 8940 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:26.723 Record ID : 290722 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x2778 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:26.723 Record ID : 290723 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-551 Nombre de grupo: Operadores de copia de seguridad Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x2778 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:26.770 Record ID : 290724 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:26.770 Record ID : 290725 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:31.332 Record ID : 290726 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:31.332 Record ID : 290727 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:33.582 Record ID : 108345 Event ID : 10016 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : La configuración de permisos específico de la aplicación no concede el permiso Activación Local para la aplicación de servidor COM con CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} y APPID {8BC3F05E-D86B-11D0-A075-00C04FB68820} al usuario DESKTOP-4LAFI5B\Matoke con SID (S-1-5-21-1830811996-1437030023-4132568959-1001) en la dirección LocalHost (con LRPC) que se ejecuta en el contenedor de aplicaciones con SID Microsoft.Windows.ContentDeliveryManager_10.0.17134.1_neutral_neutral_cw5n1h2txyewy (S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 5596 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:20:34.472 Record ID : 108346 Event ID : 10016 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : La configuración de permisos específico de la aplicación no concede el permiso Activación Local para la aplicación de servidor COM con CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} y APPID {8BC3F05E-D86B-11D0-A075-00C04FB68820} al usuario DESKTOP-4LAFI5B\Matoke con SID (S-1-5-21-1830811996-1437030023-4132568959-1001) en la dirección LocalHost (con LRPC) que se ejecuta en el contenedor de aplicaciones con SID Microsoft.Windows.ContentDeliveryManager_10.0.17134.1_neutral_neutral_cw5n1h2txyewy (S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 1184 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:20:37.024 Record ID : 622923 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1503)\SettingSyncHost.exe!00007FF7DB2F4BE8: (caller: 00007FF7DB2F58E2) LogHr(1) tid(24d8) 80040FC9 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9432 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:20:37.024 Record ID : 622924 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1622)\SettingSyncHost.exe!00007FF7DB2F4C0B: (caller: 00007FF7DB2F58E2) LogHr(2) tid(24d8) 80040FC9 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 9432 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:20:37.535 Record ID : 108348 Event ID : 10016 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : La configuración de permisos específico de la aplicación no concede el permiso Iniciar Local para la aplicación de servidor COM con CLSID Windows.SecurityCenter.WscBrokerManager y APPID No disponible al usuario NT AUTHORITY\SYSTEM con SID (S-1-5-18) en la dirección LocalHost (con LRPC) que se ejecuta en el contenedor de aplicaciones con SID No disponible (No disponible). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 7896 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:37.535 Record ID : 108347 Event ID : 10016 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : La configuración de permisos específico de la aplicación no concede el permiso Iniciar Local para la aplicación de servidor COM con CLSID Windows.SecurityCenter.WscDataProtection y APPID No disponible al usuario NT AUTHORITY\SYSTEM con SID (S-1-5-18) en la dirección LocalHost (con LRPC) que se ejecuta en el contenedor de aplicaciones con SID No disponible (No disponible). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 9928 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:37.640 Record ID : 33321 Event ID : 5860 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Namespace = ROOT\SecurityCenter; NotificationQuery = SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'AntiVirusProduct' OR TargetInstance ISA 'FirewallProduct' OR TargetInstance ISA 'AntiSpywareProduct'; UserName = NT AUTHORITY\LOCAL SERVICE; ClientProcessID = 9680, ClientMachine = DESKTOP-4LAFI5B; PossibleCause = Temporary Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 116 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:38.682 Record ID : 33322 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\CIMV2 : SELECT uuid FROM win32_computersystemproduct ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:38.685 Record ID : 33323 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\CIMV2 : SELECT SMBIOSAssetTag FROM Win32_SystemEnclosure ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:38.946 Record ID : 33324 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : select ChassisTypes from Win32_SystemEnclosure; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:39.025 Record ID : 33325 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor Win32_TpmProvider se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = C:\Windows\System32\wbem\Win32_TPM.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5664 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:20:39.880 Record ID : 33326 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor SppProvider se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %SystemRoot%\System32\sppwmi.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5664 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:20:41.145 Record ID : 48315 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:41.389 Record ID : 290728 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:41.389 Record ID : 290729 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:41.563 Record ID : 48316 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:41.747 Record ID : 48317 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:42.903 Record ID : 48318 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:42.936 Record ID : 48319 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:44.893 Record ID : 48320 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:45.085 Record ID : 48321 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:45.436 Record ID : 48322 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:45.566 Record ID : 48323 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:45.664 Record ID : 290730 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:45.664 Record ID : 290731 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 124 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:47.864 Record ID : 108349 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {7D096C5F-AC08-4F1F-BEB7-5C22C517CE39} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 1556 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:20:53.403 Record ID : 48324 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:20:54.318 Record ID : 290732 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:54.318 Record ID : 290733 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:20:54.601 Record ID : 33327 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor WMIProv se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 3580; ProviderPath = %systemroot%\system32\wbem\wmiprov.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3580 Thread ID : 4860 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:00.869 Record ID : 108350 Event ID : 10016 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : La configuración de permisos específico de la aplicación no concede el permiso Activación Local para la aplicación de servidor COM con CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} y APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} al usuario DESKTOP-4LAFI5B\Matoke con SID (S-1-5-21-1830811996-1437030023-4132568959-1001) en la dirección LocalHost (con LRPC) que se ejecuta en el contenedor de aplicaciones con SID No disponible (No disponible). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 9928 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:21:03.237 Record ID : 48325 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:03.265 Record ID : 48326 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:05.082 Record ID : 48327 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:09.916 Record ID : 48328 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:10.093 Record ID : 48329 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:10.123 Record ID : 48330 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:10.372 Record ID : 48331 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:10.627 Record ID : 48332 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:10.659 Record ID : 48333 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:11.016 Record ID : 48334 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:11.289 Record ID : 48335 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:11.589 Record ID : 48336 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:11.623 Record ID : 48337 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:11.876 Record ID : 48338 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:11.905 Record ID : 48339 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:13.600 Record ID : 48340 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:13.757 Record ID : 48341 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:13.853 Record ID : 48342 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:13.998 Record ID : 48343 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:14.363 Record ID : 48344 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:24.219 Record ID : 48345 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:24.530 Record ID : 48346 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:24.607 Record ID : 48347 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:24.639 Record ID : 48348 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:25.732 Record ID : 48349 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:28.735 Record ID : 290734 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0xcfc Nombre de proceso: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:21:30.673 Record ID : 290735 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:21:30.673 Record ID : 290736 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:21:32.281 Record ID : 486 Event ID : 100 Level : Critical Channel : Microsoft-Windows-Diagnostics-Performance/Operational Provider : Microsoft-Windows-Diagnostics-Performance Description : Windows se inició: Duración del arranque : 245665 ms IsDegradation : false Hora del incidente (UTC) : ‎2019‎-‎08‎-‎16T18:14:07.012489900Z Opcode : Información del arranque (34) Task : Supervisión de rendimiento del arranque (4002) Keywords : Registro de eventos Process ID : 3152 Thread ID : 6196 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:21:37.202 Record ID : 48350 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:37.380 Record ID : 48351 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:37.568 Record ID : 48352 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:37.848 Record ID : 48353 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:38.135 Record ID : 48354 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:38.293 Record ID : 48355 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:38.425 Record ID : 48356 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:38.515 Record ID : 48357 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:38.850 Record ID : 48358 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:38.964 Record ID : 48359 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.103 Record ID : 48360 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.295 Record ID : 48361 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.353 Record ID : 48362 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.400 Record ID : 48363 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.559 Record ID : 48364 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.625 Record ID : 48365 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.707 Record ID : 48366 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:39.911 Record ID : 48367 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.108 Record ID : 48368 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.259 Record ID : 48369 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.343 Record ID : 48370 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.387 Record ID : 48371 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.507 Record ID : 48372 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.781 Record ID : 48373 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:40.835 Record ID : 48374 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:41.048 Record ID : 48375 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:41.096 Record ID : 48376 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:41.581 Record ID : 48377 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:42.868 Record ID : 48378 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:43.922 Record ID : 48379 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:44.277 Record ID : 48380 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:44.467 Record ID : 48381 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:44.678 Record ID : 48382 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:44.882 Record ID : 48383 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:45.592 Record ID : 48384 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 9944 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:47.334 Record ID : 919960 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : ContentId: 32ad62fb-8c4f-bf5a-b766-338fbaed9953, Salt: none, Payload: none Function: ApplicationLicenseManager::EnsureLicenseForApplicationDeployment Source: onecoreuap\enduser\winstore\licensemanager\lib\applicensemanager.cpp (139) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:21:47.334 Record ID : 919962 Event ID : 8002 Level : Warning Channel : Microsoft-Windows-Store/Operational Provider : Microsoft-Windows-Store Description : Capturing identity for LocalSystem, this probably isn't intended Function: StoredIdentity::StoredIdentity Source: onecoreuap\enduser\winstore\licensemanager\lib\identity.cpp (528) Opcode : Warning (13) Task : LM (8001) Keywords : 0x8000100000000000 Process ID : 2996 Thread ID : 2124 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:47.790 Record ID : 33328 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 2412; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT * FROM Win32_BaseBoard; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:48.334 Record ID : 33329 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8540; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT Manufacturer,SMBIOSBIOSVersion,IdentificationCode,SerialNumber,ReleaseDate,Version FROM Win32_BIOS; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:48.335 Record ID : 33330 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8540; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT Model,Manufacturer,Name,SerialNumber FROM Win32_BaseBoard; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.128 Record ID : 33331 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor Win32_DeviceGuard se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = %SystemRoot%\System32\Win32_DeviceGuard.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5664 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:21:50.139 Record ID : 33332 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT SecurityServicesRunning FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.142 Record ID : 33333 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT RequiredSecurityProperties FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.146 Record ID : 33334 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT AvailableSecurityProperties FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.149 Record ID : 33335 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT SecurityServicesRunning FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.152 Record ID : 33336 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT SecurityServicesRunning FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.161 Record ID : 33337 Event ID : 5857 Level : Undefined Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : El proveedor Win32_TpmProvider se inició con código de resultado 0x0. HostProcess = wmiprvse.exe; ProcessID = 5176; ProviderPath = C:\Windows\System32\wbem\Win32_TPM.dll Opcode : Task : Keywords : 0x4000000000000000 Process ID : 5176 Thread ID : 5664 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\NETWORK SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:21:50.167 Record ID : 33338 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT SecurityServicesConfigured FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.170 Record ID : 33339 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT RequiredSecurityProperties FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.173 Record ID : 33340 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\Microsoft\Windows\DeviceGuard : SELECT AvailableSecurityProperties FROM Win32_DeviceGuard ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:21:50.176 Record ID : 33341 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 8724; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\CIMV2 : SELECT SMBIOSAssetTag FROM Win32_SystemEnclosure ; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:00.595 Record ID : 33342 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 2412; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT * FROM Win32_BIOS; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:00.600 Record ID : 33343 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = DESKTOP-4LAFI5B\Matoke; ClientProcessId = 2412; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT * FROM Win32_BaseBoard; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:10.313 Record ID : 1071356 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:10.567 Record ID : 1071357 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:10.831 Record ID : 1071358 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:10.866 Record ID : 1071359 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.111 Record ID : 1071360 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.116 Record ID : 1071361 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.269 Record ID : 1071362 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.503 Record ID : 1071363 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.509 Record ID : 1071364 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.533 Record ID : 1071365 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.568 Record ID : 1071366 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.574 Record ID : 1071367 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.592 Record ID : 1071368 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.849 Record ID : 1071369 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.865 Record ID : 1071370 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.903 Record ID : 1071371 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:11.997 Record ID : 1071372 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.053 Record ID : 1071373 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.064 Record ID : 1071374 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.093 Record ID : 1071375 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.103 Record ID : 1071376 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.107 Record ID : 1071377 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.154 Record ID : 1071378 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.187 Record ID : 1071379 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.208 Record ID : 1071380 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.225 Record ID : 1071381 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.295 Record ID : 1071382 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.310 Record ID : 1071383 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.328 Record ID : 1071384 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.381 Record ID : 1071385 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.447 Record ID : 1071386 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.472 Record ID : 1071387 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.492 Record ID : 1071388 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.801 Record ID : 1071389 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.873 Record ID : 1071390 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.920 Record ID : 1071391 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.950 Record ID : 1071392 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.983 Record ID : 1071393 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:12.988 Record ID : 1071394 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.007 Record ID : 1071395 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.012 Record ID : 1071396 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.030 Record ID : 1071397 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.068 Record ID : 1071398 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.098 Record ID : 1071399 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.104 Record ID : 1071400 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.135 Record ID : 1071401 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.188 Record ID : 1071402 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.356 Record ID : 1071403 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.517 Record ID : 1071404 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.548 Record ID : 1071405 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.585 Record ID : 1071406 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.624 Record ID : 1071407 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.633 Record ID : 1071408 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.648 Record ID : 1071409 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.699 Record ID : 1071410 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.731 Record ID : 1071411 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.772 Record ID : 1071412 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.778 Record ID : 1071413 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.793 Record ID : 1071414 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.873 Record ID : 1071415 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.942 Record ID : 1071416 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:13.998 Record ID : 1071417 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.003 Record ID : 1071418 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.084 Record ID : 1071419 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.158 Record ID : 1071420 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.226 Record ID : 1071421 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.282 Record ID : 1071422 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.458 Record ID : 1071423 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.547 Record ID : 1071424 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.611 Record ID : 1071425 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.615 Record ID : 1071426 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.663 Record ID : 1071427 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.678 Record ID : 1071428 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.779 Record ID : 1071429 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.785 Record ID : 1071430 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.810 Record ID : 1071431 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.816 Record ID : 1071432 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.831 Record ID : 1071433 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.843 Record ID : 1071434 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:14.959 Record ID : 1071435 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.018 Record ID : 1071436 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.022 Record ID : 1071437 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.044 Record ID : 1071438 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.075 Record ID : 1071439 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.280 Record ID : 1071440 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.636 Record ID : 1071441 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.801 Record ID : 1071442 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:15.802 Record ID : 1071443 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:47.869 Record ID : 108355 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 1120 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:22:48.321 Record ID : 33344 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 11056; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT Manufacturer,SMBIOSBIOSVersion,IdentificationCode,SerialNumber,ReleaseDate,Version FROM Win32_BIOS; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:48.323 Record ID : 33345 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 11056; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : SELECT Model,Manufacturer,Name,SerialNumber FROM Win32_BaseBoard; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5064 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:49.225 Record ID : 59422 Event ID : 317 Level : Warning Channel : Microsoft-Windows-AppXDeploymentServer/Operational Provider : Microsoft-Windows-AppXDeployment-Server Description : C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.451.0_x86__zpdnekdrzrea0\AppxManifest.xml(121,28): advertencia: no se reconoce la categoría de la extensión 'windows.desktopAppMigration' del paquete SpotifyAB.SpotifyMusic_1.112.451.0_x86__zpdnekdrzrea0. Opcode : Task : 1 Keywords : OSIM Keyword Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:49.566 Record ID : 48387 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:50.130 Record ID : 48388 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:56.454 Record ID : 290737 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:22:56.454 Record ID : 290738 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:22:57.112 Record ID : 290739 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:22:57.112 Record ID : 290740 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:22:58.337 Record ID : 38894 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #1 Database 228E86873F0: Try 1 (257ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:58.593 Record ID : 38895 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #2 Database 228E86873F0: Try 2 (513ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:58.850 Record ID : 38896 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #3 Database 228E86873F0: Try 3 (770ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:59.107 Record ID : 38897 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #4 Database 228E86873F0: Try 4 (1027ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:59.362 Record ID : 38898 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #5 Database 228E86873F0: Try 5 (1282ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:59.620 Record ID : 38899 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #6 Database 228E86873F0: Try 6 (1540ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:22:59.878 Record ID : 38900 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #7 Database 228E86873F0: Try 7 (1798ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:00.136 Record ID : 38901 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #8 Database 228E86873F0: Try 8 (2056ms) {F422E920-B8C0-420B-A35C-3DC2861FB6F6} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 10564 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:00.218 Record ID : 1071444 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:23:00.672 Record ID : 59435 Event ID : 317 Level : Warning Channel : Microsoft-Windows-AppXDeploymentServer/Operational Provider : Microsoft-Windows-AppXDeployment-Server Description : C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.451.0_x86__zpdnekdrzrea0\AppxManifest.xml(121,28): advertencia: no se reconoce la categoría de la extensión 'windows.desktopAppMigration' del paquete SpotifyAB.SpotifyMusic_1.112.451.0_x86__zpdnekdrzrea0. Opcode : Task : 1 Keywords : OSIM Keyword Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:23:00.925 Record ID : 59436 Event ID : 317 Level : Warning Channel : Microsoft-Windows-AppXDeploymentServer/Operational Provider : Microsoft-Windows-AppXDeployment-Server Description : C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\AppxManifest.xml(121,28): advertencia: no se reconoce la categoría de la extensión 'windows.desktopAppMigration' del paquete SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0. Opcode : Task : 1 Keywords : OSIM Keyword Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:23:05.630 Record ID : 48389 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2013/xbox/manifest no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:07.517 Record ID : 48390 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:09.236 Record ID : 38903 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #10 Database 228E86873F0: Try 1 (259ms) {F6B96DF9-904F-4795-B46A-3464D0EA3684} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:09.491 Record ID : 38904 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #11 Database 228E86873F0: Try 2 (514ms) {F6B96DF9-904F-4795-B46A-3464D0EA3684} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:09.614 Record ID : 59452 Event ID : 317 Level : Warning Channel : Microsoft-Windows-AppXDeploymentServer/Operational Provider : Microsoft-Windows-AppXDeployment-Server Description : C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\AppxManifest.xml(121,28): advertencia: no se reconoce la categoría de la extensión 'windows.desktopAppMigration' del paquete SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0. Opcode : Task : 1 Keywords : OSIM Keyword Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:09.671 Record ID : 59453 Event ID : 317 Level : Warning Channel : Microsoft-Windows-AppXDeploymentServer/Operational Provider : Microsoft-Windows-AppXDeployment-Server Description : C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.451.0_x86__zpdnekdrzrea0\AppxManifest.xml(121,28): advertencia: no se reconoce la categoría de la extensión 'windows.desktopAppMigration' del paquete SpotifyAB.SpotifyMusic_1.112.451.0_x86__zpdnekdrzrea0. Opcode : Task : 1 Keywords : OSIM Keyword Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:10.929 Record ID : 48391 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/uap/windows10/3 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:11.196 Record ID : 38906 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #13 Database 228E86873F0: Try 1 (257ms) {3125B8F3-ECBD-4005-9D2A-06E4C9A173FC} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:11.453 Record ID : 38907 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #14 Database 228E86873F0: Try 2 (514ms) {3125B8F3-ECBD-4005-9D2A-06E4C9A173FC} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:11.711 Record ID : 38908 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #15 Database 228E86873F0: Try 3 (772ms) {D17285AB-6DA2-48CD-9FC6-0D05F9C4B25B} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:11.970 Record ID : 38909 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #16 Database 228E86873F0: Try 4 (1031ms) {C1A7F375-D682-4687-8EDF-8C933EAC52F9} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:14.219 Record ID : 38911 Event ID : 104 Level : Warning Channel : Microsoft-Windows-StateRepository/Operational Provider : Microsoft-Windows-StateRepository Description : Warning 0x80670007: [sqlite3_exec] #18 Database 228E86873F0: Try 1 (257ms) {8F1FB590-B8BE-44DA-BC54-C483AA3F25E4} TID:10960 database is locked : SQL BEGIN EXCLUSIVE /*332E2D0D-A5F9-4546-8A46-F32100571CF9*/; Opcode : Task : 1 Keywords : StateRepository Keyword Process ID : 4416 Thread ID : 7140 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:14.434 Record ID : 1071445 Event ID : 1 Level : Undefined Channel : Microsoft-Windows-Security-Mitigations/KernelMode Provider : Microsoft-Windows-Security-Mitigations Description : Se habría impedido que el proceso "\Device\HarddiskVolume4\Windows\System32\svchost.exe" (PID 4416) generara código dinámico. Opcode : Task : 1 Keywords : 0x8000000000000000 Process ID : 4416 Thread ID : 10960 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:23:15.676 Record ID : 48392 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:16.421 Record ID : 48393 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:16.629 Record ID : 48394 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:16.913 Record ID : 48395 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:17.177 Record ID : 48396 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:17.992 Record ID : 48397 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:18.362 Record ID : 48398 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:18.507 Record ID : 48399 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:18.786 Record ID : 48400 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.161 Record ID : 48401 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.323 Record ID : 48402 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.398 Record ID : 48403 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.398 Record ID : 48404 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/uap/windows10/8 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.562 Record ID : 48405 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.723 Record ID : 48406 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.863 Record ID : 48407 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:19.953 Record ID : 48408 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.007 Record ID : 48409 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.080 Record ID : 48410 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.162 Record ID : 48411 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.228 Record ID : 48412 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.337 Record ID : 48413 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.399 Record ID : 48414 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.449 Record ID : 48415 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.534 Record ID : 48416 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.534 Record ID : 48417 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/mobile/windows10 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.618 Record ID : 48418 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.750 Record ID : 48419 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.839 Record ID : 48420 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.884 Record ID : 48421 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:20.942 Record ID : 48422 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.419 Record ID : 48423 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.533 Record ID : 48424 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.657 Record ID : 48425 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.657 Record ID : 48426 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/iot/windows10/2 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.715 Record ID : 48427 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.715 Record ID : 48428 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/iot/windows10/2 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.852 Record ID : 48429 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:23:21.888 Record ID : 48430 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 1944 Thread ID : 7020 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:24:47.873 Record ID : 108360 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B68-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 5604 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:25:04.236 Record ID : 290741 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2f34 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:04.237 Record ID : 290742 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2f34 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:04.237 Record ID : 290743 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2f34 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:04.237 Record ID : 290744 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2f34 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:04.238 Record ID : 290745 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2f34 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:23.043 Record ID : 290746 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:23.044 Record ID : 290747 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:23.044 Record ID : 290748 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:23.045 Record ID : 290749 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:23.045 Record ID : 290750 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:23.334 Record ID : 33346 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 11368; Component = Unknown; Operation = Start IWbemServices::ExecQuery - ROOT\CIMV2 : select ChassisTypes from Win32_SystemEnclosure; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:25:23.681 Record ID : 33347 Event ID : 5858 Level : Error Channel : Microsoft-Windows-WMI-Activity/Operational Provider : Microsoft-Windows-WMI-Activity Description : Id = {00000000-0000-0000-0000-000000000000}; ClientMachine = DESKTOP-4LAFI5B; User = NT AUTHORITY\SYSTEM; ClientProcessId = 11368; Component = Unknown; Operation = Start IWbemServices::ExecQuery - root\cimv2 : select MaxClockSpeed from Win32_Processor; ResultCode = 0x80041032; PossibleCause = Unknown Opcode : Task : Keywords : 0x4000000000000000 Process ID : 3184 Thread ID : 5048 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:25:29.151 Record ID : 290751 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:29.152 Record ID : 290752 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:29.152 Record ID : 290753 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:29.153 Record ID : 290754 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:25:29.153 Record ID : 290755 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2c68 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 488 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:26:47.876 Record ID : 108361 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {E48EDA45-43C6-48E0-9323-A7B2067D9CD5} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 1108 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:26:50.554 Record ID : 28719 Event ID : 310 Level : Warning Channel : Microsoft-Windows-Bits-Client/Operational Provider : Microsoft-Windows-Bits-Client Description : Error de inicialización de los módulos auxiliares del mismo nivel: 0x80070032. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10104 Thread ID : 11744 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:28:47.880 Record ID : 108362 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 5184 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:30:47.881 Record ID : 108363 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {E48EDA45-43C6-48E0-9323-A7B2067D9CD5} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 2000 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:30:56.264 Record ID : 28723 Event ID : 308 Level : Warning Channel : Microsoft-Windows-Bits-Client/Operational Provider : Microsoft-Windows-Bits-Client Description : El servicio BITS se cerró correctamente pero se retrasó 1009.968 segundos. Esto podría provocar retrasos al apagar el equipo. Para obtener más información acerca del retraso, habilite el registro analítico de BITS y, a continuación, detenga y reinicie el servicio BITS. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10104 Thread ID : 8220 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:31:30.565 Record ID : 290756 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.565 Record ID : 290757 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.646 Record ID : 290758 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x23b0 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.646 Record ID : 290759 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x23b0 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.647 Record ID : 290760 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x23b0 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.647 Record ID : 290761 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x23b0 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.648 Record ID : 290762 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x23b0 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.724 Record ID : 290763 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.724 Record ID : 290764 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:31:30.781 Record ID : 7118 Event ID : 8025 Level : 16 Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : El servicio Microsoft Passport se inició correctamente. Opcode : Informational (12) Task : Service Start (6) Keywords : 0x8000000000000001 Process ID : 8960 Thread ID : 9176 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:31:30.847 Record ID : 7119 Event ID : 8025 Level : 16 Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : El servicio Microsoft Passport Container se inició correctamente. Opcode : Informational (12) Task : Service Start (6) Keywords : 0x8000000000000001 Process ID : 6744 Thread ID : 2340 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\LOCAL SERVICE ================================================== ================================================== Event Time : 16/8/2019 15:31:31.680 Record ID : 11681 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {C4900540-2379-4C75-844B-64E6FAF8716B} con la ruta de acceso 'C:\Users\Public\Pictures\Sample Pictures'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.681 Record ID : 11682 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {2A00375E-224C-49DE-B8D1-440DF7EF3DDC} con la ruta de acceso 'C:\WINDOWS\resources\080a'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.702 Record ID : 11683 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {B250C668-F57D-4EE1-A63C-290EE7D1AA1F} con la ruta de acceso 'C:\Users\Public\Music\Sample Music'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.706 Record ID : 11684 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {859EAD94-2E85-48AD-A71A-0969CB56A6CD} con la ruta de acceso 'C:\Users\Public\Videos\Sample Videos'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.708 Record ID : 11685 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {12D4C69E-24AD-4923-BE19-31321C43A767} con la ruta de acceso 'C:\ProgramData\Microsoft\Windows\RetailDemo'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.742 Record ID : 11686 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {C1BAE2D0-10DF-4334-BEDD-7AA20B227A9D} con la ruta de acceso 'C:\ProgramData\OEM Links'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.965 Record ID : 11687 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {C4900540-2379-4C75-844B-64E6FAF8716B} con la ruta de acceso 'C:\Users\Public\Pictures\Sample Pictures'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.966 Record ID : 11688 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {2A00375E-224C-49DE-B8D1-440DF7EF3DDC} con la ruta de acceso 'C:\WINDOWS\resources\080a'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.967 Record ID : 11689 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {B250C668-F57D-4EE1-A63C-290EE7D1AA1F} con la ruta de acceso 'C:\Users\Public\Music\Sample Music'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.971 Record ID : 11690 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {859EAD94-2E85-48AD-A71A-0969CB56A6CD} con la ruta de acceso 'C:\Users\Public\Videos\Sample Videos'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.972 Record ID : 11691 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {12D4C69E-24AD-4923-BE19-31321C43A767} con la ruta de acceso 'C:\ProgramData\Microsoft\Windows\RetailDemo'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:31:31.976 Record ID : 11692 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {C1BAE2D0-10DF-4334-BEDD-7AA20B227A9D} con la ruta de acceso 'C:\ProgramData\OEM Links'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 3372 Thread ID : 5104 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:32:47.881 Record ID : 108365 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 1136 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:34:47.883 Record ID : 108366 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 5608 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:00.076 Record ID : 11693 Event ID : 1002 Level : Warning Channel : Microsoft-Windows-Known Folders API Service Provider : Microsoft-Windows-KnownFolders Description : Error 0x80070002 al comprobar la carpeta conocida {FDD39AD0-238F-46AF-ADB4-6C85480369C7} con la ruta de acceso 'C:\WINDOWS\system32\config\systemprofile\Documents'. Opcode : Task : Keywords : 0x8000000000000000 Process ID : 7112 Thread ID : 7856 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:35:04.190 Record ID : 290765 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:04.190 Record ID : 290766 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:04.232 Record ID : 290767 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2064 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:04.232 Record ID : 290768 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2064 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:04.233 Record ID : 290769 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2064 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:04.233 Record ID : 290770 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1002 Nombre de cuenta: matia Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2064 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:04.234 Record ID : 290771 Event ID : 4798 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Usuario: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de cuenta: Matoke Dominio de cuenta: DESKTOP-4LAFI5B Información de proceso: Id. de proceso: 0x2064 Nombre de proceso: C:\Windows\System32\taskhostw.exe Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:19.683 Record ID : 290772 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:19.683 Record ID : 290773 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:20.196 Record ID : 622961 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\settingsynccore\settingsyncinfo\settingunit.cpp(236)\SettingSyncCore.dll!00007FFBFD08D51F: (caller: 00007FFBFD07A690) ReturnHr(1) tid(2e08) 8007007A El área de datos transferida a una llamada del sistema es demasiado pequeña. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11784 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.217 Record ID : 622969 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\settingsynccore\settingsyncinfo\settingunit.cpp(236)\SettingSyncCore.dll!00007FFBFD08D51F: (caller: 00007FFBFD07A690) ReturnHr(2) tid(2e28) 8007007A El área de datos transferida a una llamada del sistema es demasiado pequeña. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.265 Record ID : 10789 Event ID : 5001 Level : Error Channel : Microsoft-Windows-SettingSync/Operational Provider : Microsoft-Windows-SettingSync Description : Local create for collection windows-credentials failed. (Result: 0x80090034) Opcode : Task : Keywords : 0x8000000000000000 Process ID : 10036 Thread ID : 11784 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.585 Record ID : 87384 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudsync\cloudsyncprovider\lib\onedrivewnsregistrar.cpp(387)\OneDriveSettingSyncProvider.dll!00007FFBF1AD5E2A: (caller: 00007FFBF1AD4A23) ReturnHr(7) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.585 Record ID : 87385 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudsync\cloudsyncprovider\lib\onedrivewnsregistrar.cpp(88)\OneDriveSettingSyncProvider.dll!00007FFBF1AD4A82: (caller: 00007FFBF1AC2468) ReturnHr(8) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.585 Record ID : 87386 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(889)\OneDriveSettingSyncProvider.dll!00007FFBF1AC24D0: (caller: 00007FFBF1ABFBDB) ReturnHr(9) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.585 Record ID : 87387 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(707)\OneDriveSettingSyncProvider.dll!00007FFBF1ABFBF7: (caller: 00007FFBF1ABF2C5) LogHr(2) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.591 Record ID : 622988 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\settingsynccore\settingsyncinfo\settingunit.cpp(236)\SettingSyncCore.dll!00007FFBFD08D51F: (caller: 00007FFBFD07A690) ReturnHr(3) tid(2e28) 8007007A El área de datos transferida a una llamada del sistema es demasiado pequeña. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.703 Record ID : 87388 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudsync\cloudsyncprovider\lib\onedrivewnsregistrar.cpp(387)\OneDriveSettingSyncProvider.dll!00007FFBF1AD5E2A: (caller: 00007FFBF1AD4A23) ReturnHr(10) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.703 Record ID : 87389 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudsync\cloudsyncprovider\lib\onedrivewnsregistrar.cpp(88)\OneDriveSettingSyncProvider.dll!00007FFBF1AD4A82: (caller: 00007FFBF1AC2468) ReturnHr(11) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.703 Record ID : 87390 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(889)\OneDriveSettingSyncProvider.dll!00007FFBF1AC24D0: (caller: 00007FFBF1ABFBDB) ReturnHr(12) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.703 Record ID : 87391 Event ID : 3000 Level : Error Channel : Microsoft-Windows-SettingSync-OneDrive/Debug Provider : Microsoft-Windows-SettingSync-OneDrive Description : onecoreuap\shell\roaming\cloudcommon\wnsregistrarbase\wnsregistrarbase.cpp(707)\OneDriveSettingSyncProvider.dll!00007FFBF1ABFBF7: (caller: 00007FFBF1ABF2C5) LogHr(3) tid(2e28) 80070002 El sistema no puede encontrar el archivo especificado. Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.709 Record ID : 622998 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1503)\SettingSyncHost.exe!00007FF7DB2F4BE8: (caller: 00007FF7DB2F58E2) LogHr(3) tid(2e28) 80040FC3 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.709 Record ID : 622999 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1622)\SettingSyncHost.exe!00007FF7DB2F4C0B: (caller: 00007FF7DB2F58E2) LogHr(4) tid(2e28) 80040FC3 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.710 Record ID : 623001 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1503)\SettingSyncHost.exe!00007FF7DB2F4BE8: (caller: 00007FF7DB2F58E2) LogHr(5) tid(2e28) 80040FC3 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.710 Record ID : 623002 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1622)\SettingSyncHost.exe!00007FF7DB2F4C0B: (caller: 00007FF7DB2F58E2) LogHr(6) tid(2e28) 80040FC3 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.712 Record ID : 623004 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1503)\SettingSyncHost.exe!00007FF7DB2F4BE8: (caller: 00007FF7DB2F58E2) LogHr(7) tid(2e28) 80040FC9 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.712 Record ID : 623005 Event ID : 6065 Level : Error Channel : Microsoft-Windows-SettingSync/Debug Provider : Microsoft-Windows-SettingSync Description : onecoreuap\shell\roaming\cloudsync\cloudsyncengine\cloudsyncengine.cpp(1622)\SettingSyncHost.exe!00007FF7DB2F4C0B: (caller: 00007FF7DB2F58E2) LogHr(8) tid(2e28) 80040FC9 CallContext:[\AttemptSyncActivity] Opcode : Task : Keywords : 0x4000000000000000 Process ID : 10036 Thread ID : 11816 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:20.803 Record ID : 10790 Event ID : 5001 Level : Error Channel : Microsoft-Windows-SettingSync/Operational Provider : Microsoft-Windows-SettingSync Description : Local create for collection windows-wireless failed. (Result: 0x80090034) Opcode : Task : Keywords : 0x8000000000000000 Process ID : 10036 Thread ID : 11784 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:35:24.246 Record ID : 290774 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:24.246 Record ID : 290775 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:24.459 Record ID : 290776 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:24.459 Record ID : 290777 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:35:24.497 Record ID : 7120 Event ID : 8025 Level : 16 Channel : Microsoft-Windows-HelloForBusiness/Operational Provider : Microsoft-Windows-HelloForBusiness Description : El servicio Microsoft Passport se inició correctamente. Opcode : Informational (12) Task : Service Start (6) Keywords : 0x8000000000000001 Process ID : 6872 Thread ID : 10760 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:36:47.886 Record ID : 108367 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 4516 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:38:47.889 Record ID : 108368 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 5600 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:40:47.891 Record ID : 108369 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 8240 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:42:05.826 Record ID : 290778 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:42:05.826 Record ID : 290779 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 132 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:42:08.102 Record ID : 4883 Event ID : 161 Level : Error Channel : Microsoft-Windows-WinRM/Operational Provider : Microsoft-Windows-WinRM Description : El cliente no puede conectarse con el destino especificado en la solicitud. Compruebe que el servicio del destino se esté ejecutando y que acepte solicitudes. Consulte los registros y la documentación del servicio WS-Management que se ejecuta en el destino, normalmente IIS o WinRM. Si el destino es el servicio WinRM, ejecute el siguiente comando en el destino para analizar y configurar el servicio WinRM: "winrm quickconfig". Opcode : Task : Autenticación de usuario (7) Keywords : Cliente Process ID : 2176 Thread ID : 12284 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:08.102 Record ID : 4884 Event ID : 142 Level : Error Channel : Microsoft-Windows-WinRM/Operational Provider : Microsoft-Windows-WinRM Description : Error en la operación Enumeration de WSMan, código de error 2150858770 Opcode : Detener (2) Task : Control de respuestas (10) Keywords : Cliente Process ID : 2176 Thread ID : 11500 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:08.116 Record ID : 290780 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x880 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:42:08.117 Record ID : 290781 Event ID : 4799 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Grupo: Id. de seguridad: S-1-5-32-551 Nombre de grupo: Operadores de copia de seguridad Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x880 Nombre de proceso: C:\Windows\System32\svchost.exe Opcode : Task : Security Group Management (13826) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:42:26.797 Record ID : 290782 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:42:26.797 Record ID : 290783 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 640 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:42:27.054 Record ID : 48431 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:27.078 Record ID : 48432 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:27.160 Record ID : 48433 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:27.185 Record ID : 48434 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:28.075 Record ID : 48435 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2013/xbox/manifest no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:28.108 Record ID : 48436 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2013/xbox/manifest no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:28.157 Record ID : 48437 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:28.181 Record ID : 48438 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:28.512 Record ID : 48439 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/uap/windows10/3 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:28.539 Record ID : 48440 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/uap/windows10/3 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.473 Record ID : 48441 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.496 Record ID : 48442 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.578 Record ID : 48443 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.603 Record ID : 48444 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.659 Record ID : 48445 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.682 Record ID : 48446 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.800 Record ID : 48447 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.823 Record ID : 48448 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.930 Record ID : 48449 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:29.956 Record ID : 48450 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.178 Record ID : 48451 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.206 Record ID : 48452 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.407 Record ID : 48453 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.530 Record ID : 48454 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.577 Record ID : 48455 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.604 Record ID : 48456 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.633 Record ID : 48457 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.669 Record ID : 48458 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.695 Record ID : 48459 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.767 Record ID : 48460 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.792 Record ID : 48461 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.848 Record ID : 48462 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.888 Record ID : 48463 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:30.916 Record ID : 48464 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.042 Record ID : 48465 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.083 Record ID : 48466 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.115 Record ID : 48467 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.193 Record ID : 48468 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.230 Record ID : 48469 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.230 Record ID : 48470 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/uap/windows10/8 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.255 Record ID : 48471 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.255 Record ID : 48472 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/uap/windows10/8 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.316 Record ID : 48473 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.418 Record ID : 48474 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.444 Record ID : 48475 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.503 Record ID : 48476 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.541 Record ID : 48477 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.566 Record ID : 48478 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.625 Record ID : 48479 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.734 Record ID : 48480 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.781 Record ID : 48481 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.842 Record ID : 48482 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.880 Record ID : 48483 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.906 Record ID : 48484 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.953 Record ID : 48485 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:31.988 Record ID : 48486 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.016 Record ID : 48487 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.073 Record ID : 48488 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.115 Record ID : 48489 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.139 Record ID : 48490 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.197 Record ID : 48491 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.246 Record ID : 48492 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.279 Record ID : 48493 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.316 Record ID : 48494 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.350 Record ID : 48495 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.374 Record ID : 48496 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.412 Record ID : 48497 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.454 Record ID : 48498 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.487 Record ID : 48499 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.547 Record ID : 48500 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.577 Record ID : 48501 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.603 Record ID : 48502 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.640 Record ID : 48503 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.672 Record ID : 48504 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.700 Record ID : 48505 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.781 Record ID : 48506 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.829 Record ID : 48507 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.829 Record ID : 48508 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/mobile/windows10 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.863 Record ID : 48509 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.863 Record ID : 48510 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/mobile/windows10 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:32.964 Record ID : 48511 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.019 Record ID : 48512 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.053 Record ID : 48513 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.113 Record ID : 48514 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.182 Record ID : 48515 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.247 Record ID : 48516 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.427 Record ID : 48517 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.594 Record ID : 48518 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.698 Record ID : 48519 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.805 Record ID : 48520 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:33.997 Record ID : 48521 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.101 Record ID : 48522 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.197 Record ID : 48523 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.259 Record ID : 48524 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.290 Record ID : 48525 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.335 Record ID : 48526 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.397 Record ID : 48527 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.446 Record ID : 48528 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.546 Record ID : 48529 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.658 Record ID : 48530 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.726 Record ID : 48531 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.830 Record ID : 48532 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.982 Record ID : 48533 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:34.982 Record ID : 48534 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/iot/windows10/2 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:35.059 Record ID : 48535 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:35.059 Record ID : 48536 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/manifest/iot/windows10/2 no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:35.166 Record ID : 48537 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:35.215 Record ID : 48538 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:35.265 Record ID : 48539 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/developer/appx/2015/build no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:35.375 Record ID : 48540 Event ID : 216 Level : Warning Channel : Microsoft-Windows-AppxPackaging/Operational Provider : Microsoft-Windows-AppxPackagingOM Description : Advertencia de validación del manifiesto de la aplicación: el espacio de nombres declarado http://schemas.microsoft.com/appx/2018/bundle no es aplicable, se omitirá durante el procesamiento del manifiesto. Opcode : Parse Manifest (11) Task : Manifest (4) Keywords : 0x8000000000000000 Process ID : 11080 Thread ID : 7304 Computer : DESKTOP-4LAFI5B User : NT AUTHORITY\SYSTEM ================================================== ================================================== Event Time : 16/8/2019 15:42:47.894 Record ID : 108371 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 8244 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ================================================== ================================================== Event Time : 16/8/2019 15:43:15.430 Record ID : 290784 Event ID : 4797 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de la cuenta: Matoke Dominio de la cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información adicional: Estación de trabajo del llamador: DESKTOP-4LAFI5B Nombre de la cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-4LAFI5B Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.431 Record ID : 290785 Event ID : 4797 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de la cuenta: Matoke Dominio de la cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información adicional: Estación de trabajo del llamador: DESKTOP-4LAFI5B Nombre de la cuenta de destino: DefaultAccount Dominio de la cuenta de destino: DESKTOP-4LAFI5B Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.432 Record ID : 290786 Event ID : 4797 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de la cuenta: Matoke Dominio de la cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información adicional: Estación de trabajo del llamador: DESKTOP-4LAFI5B Nombre de la cuenta de destino: Invitado Dominio de la cuenta de destino: DESKTOP-4LAFI5B Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.433 Record ID : 290787 Event ID : 4797 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de la cuenta: Matoke Dominio de la cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información adicional: Estación de trabajo del llamador: DESKTOP-4LAFI5B Nombre de la cuenta de destino: matia Dominio de la cuenta de destino: DESKTOP-4LAFI5B Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.436 Record ID : 290788 Event ID : 4797 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de la cuenta: Matoke Dominio de la cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información adicional: Estación de trabajo del llamador: DESKTOP-4LAFI5B Nombre de la cuenta de destino: Otros Dominio de la cuenta de destino: DESKTOP-4LAFI5B Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.437 Record ID : 290789 Event ID : 4797 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta. Firmante: Id. de seguridad: S-1-5-21-1830811996-1437030023-4132568959-1001 Nombre de la cuenta: Matoke Dominio de la cuenta: DESKTOP-4LAFI5B Id. de inicio de sesión: 0x7E705 Información adicional: Estación de trabajo del llamador: DESKTOP-4LAFI5B Nombre de la cuenta de destino: WDAGUtilityAccount Dominio de la cuenta de destino: DESKTOP-4LAFI5B Opcode : Task : User Account Management (13824) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.460 Record ID : 290790 Event ID : 4624 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-4LAFI5B$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Opcode : Task : Logon (12544) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:43:15.461 Record ID : 290791 Event ID : 4672 Level : Undefined Channel : Security Provider : Microsoft-Windows-Security-Auditing Description : Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Opcode : Task : Special Logon (12548) Keywords : Auditoría correcta Process ID : 996 Thread ID : 3732 Computer : DESKTOP-4LAFI5B User : ================================================== ================================================== Event Time : 16/8/2019 15:44:47.897 Record ID : 108372 Event ID : 10010 Level : Error Channel : System Provider : Microsoft-Windows-DistributedCOM Description : El servidor {9E175B6D-F52A-11D8-B9A5-505054503030} no se registró con DCOM dentro del tiempo de espera requerido. Opcode : Task : Keywords : Clásico Process ID : 1084 Thread ID : 8232 Computer : DESKTOP-4LAFI5B User : DESKTOP-4LAFI5B\Matoke ==================================================