如何解釋域控制器上的 ID 4624 類型 3 事件？

我在域控制器（Windows Server 2012）上看到很多 ID 4624 事件（登錄類型 3），我想知道這些事件想告訴我什麼。

我讀過域控制器上的 4624 Type 3 事件說 AD 域上有網路登錄，但我不明白源網路地址的含義。是登錄的來源還是使用者想要登錄的目標？

源網路地址將是請求源自的地址，但它可能是本地主機或不包含源資訊的方式。

您可能已經遇到過它，但以下內容包括大量細節以及一些有用的審計方法：

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624

希望有幫助

驗證 PTR 記錄並將站點綁定到子網

如果您想在日誌事件中查看網路地址，您可以做兩件事來補救。

**1.**在 DNS 伺服器中，確認您有一個反向查找區域。如果沒有，請使用您的主機子網的網路地址創建一個。

**2.**打開 Active Directory 站點和服務。向下鑽取“站點 > 子網”。驗證子網是使用子網的網路地址 CIDR 創建的，並且它綁定到該子網中存在的站點（您的 DC 所在的站點）。

**3.**在 DC 上，打開 admin cmd 提示符並鍵入“ipconfig /registerdns”

您現在應該看到您的 DC 的 PTR 記錄是新的 DNS 反向查找區域。如果您有其他包含主機的子網，請為這些主機創建反向查找區域。

“ID 4624 事件（登錄類型 3）”資訊事件現在應該顯示子網。類型 3 事件是客戶端訪問 netlogon 和/或 sysvol 共享以獲取登錄腳本或組策略列舉和應用程序。

引用自：https://serverfault.com/questions/997192