Bonjour,
J'essaie de comprendre le journal d'événement et d'interpréter les événements d'ouverture de session. Sur plusieurs sites on retrouve l'information permettant de dire qu'une connexion est liée à un humain. Pour cela il faut regarder
1. le type d'ouverture de session qui doit être à la valeur 2
2. le compte virtuel qui doit être à OUI
3. le nom du processus qui doit être C:\Windows\system32\winlogon.exe

A priori il y aurait le domaine du compte à prendre en considération ( comme ici ) mais je ne suis pas certain que la valeur indiquée à savoir Windows Manager soit "universelle".

Ce que j'ai du mal à interpréter c'est quand j'ai ces 3 critères qui correspondent mais que j'ai
- nom du compte qui ne correspond pas toujours à un compte utilisateur existant actif ou non (vérifié au niveau du gestionnaire des comptes)
- domaine du compte qui est sur une valeur parfois du nom de l'ordinateur (pour les événements associés à un utilisateur existant - ce qui semble cohérent), parfois sur une valeur égale à "Font Driver Host" et parfois c'est "Windows Manager" (mais à aucun moment l'utilisateur réel n'est associé à ce domaine du compte).

Je ne comprends plus rien sur cet événement et je ne parviens pas à démêler les choses.
Pouvez-vous me guider sur l'interprétation ?

Merci.