4624 只表明了 successfully log on ,你还要看 logon type ,有的是 SYSTEM 行为,有的是 WebAPI 等等,具体参考: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624
@Tumblr 我发现基本都是 network 的类型, "3 Network 从网络登录到此计算机的用户或计算机。" 实际域用户登录应该是 “ 2 Interactive 用户登录到这台计算机 ” 类型吗 ??,测试了一下还是没有搞明白
