LogonTracer es una herramienta para analizar inicios de sesión maliciosos mediante la visualización y el análisis de los registros de eventos de Windows Active Directory.
Esta herramienta asocia un nombre de host (o una dirección IP) y un nombre de cuenta encontrados en eventos relacionados con el inicio de sesión y lo muestra como un gráfico. De esta forma, es posible ver en qué cuenta se produce el intento de inicio de sesión y qué host se utiliza.
Esta herramienta puede visualizar los siguientes identificadores de eventos relacionados con el inicio de sesión de Windows basándose en esta investigación.
- 4624: Inicio de sesión con éxito
- 4625: Fallo de inicio de sesión
- 4768: Autenticación Kerberos (solicitud TGT)
- 4769: Ticket de servicio Kerberos (solicitud ST)
- 4776: Autenticación NTLM
- 4672: Asignar privilegios especiales