Windows Eventlog ログオンの種類 と ログオンのプロセス

ログオンの種類

2  対話型 (対話型ログオン。)
3 ネットワーク (ネットワーク経由でシステムにアクセスしました。)
4 バッチ (バッチ ジョブとして起動されました。)
5 サービス (サービス コントローラによって起動された Windows サービス。)
6 プロキシ (プロキシ ログオン。Windows NT または Windows 2000 では使用されません。)
7 ロックの解除 (ワークステーションのロックを解除しました。)
8 ネットワーク クリアテキスト (クリアテキストの資格情報を使用したネットワーク ログオン。)
9 新しい資格情報 (/netonly オプションが使用される場合に RunAs によって使用されます。)
10 リモートデスクトップ
11 キャッシュログオン

 

ログオンのプロセス

Advapi LogonUser への呼び出しによって起動されます。LogonUser が LsaLogonUser を呼び出し、LsaLogonUser の引数の 1 つである OriginName がログオンの発生場所を識別します。
User32 WinLogon を使用する標準の Windows 2000 ログオン。
SCMgr サービス コントロール マネージャがサービスを開始しました。
KsecDD NET USE コマンドを使用した場合など、SMB サーバーへのネットワーク接続です。
Kerberos Kerberos セキュリティ サポート プロバイダ(SSP)。
NtlmSsp NtlmSsp
Seclogon セカンダリ ログオン、つまり RunAs コマンド。
IIS IIS がログオンを実行したことを示し、IUSR_machinename アカウントでログオンするか、ダイジェスト認証または基本認証を使用したときに生成されます。

参照:https://support.microsoft.com/ja-jp/help/326985