對於稽核登入事件(id 529 , logon type 2)的小疑問
 

關於如下的事件稽核有個小疑慮想請教一下
---------------------------------------------
事件類型: 稽核失敗
事件來源: Security
事件類別目錄: 登入/登出
事件識別碼: 529
日期: 2008/04/12
時間: 上午 08:36:00
使用者: NT AUTHORITY\SYSTEM
電腦: HR
描述:
登入失敗:
原因: 使用者名稱不明或密碼錯誤
使用者名稱: admin_a1
網域: HR
登入類型: 2
登入處理: advapi
驗證封裝: negotiate
工作站名稱: HR
---------------------------------------------

到官網查了一下:
logon type: 2 "interactive" 使用者以互動方式嘗試登入這部電腦。 --> 意思應該是本機上的互動
logon type: 3 則是使用者或電腦從 "網路" 登入這部電腦。

另外,
以下是關於事件 id 529 且 logon type :2 的資訊,其中提到的可能性如下

1.)
When a local user on a Windows XP Professional-based member computer logs off, two logon failure events are recorded. When a user logs off, Windows XP re-reads the user record for updated information to optimize the next logon process. However, Windows ignores the fact that the user is from the local SAM database and instead tries to contact the domain (if the computer is a member of a domain).

2.)
When logon screen appears after the screensaver was interrupted, but user doesn’t logon.


上述這兩點顯然皆是本機使用者--以我為例: HR\admin-a1(即我) 之[b]行為[/b]所致,但若我所稽核的都是我不在場的時間點...
[b]如此可否大膽假設有其他人跑到 HR 電腦欲嘗試以我的帳號作登入呢 ?? [/b]


PS. lan 環境無使用 AD ,而 HR 這部電腦也只是很單純的 xp pro sp2