<p>Ce ne sont pas des événements de connexion à la console. La plupart des systèmes d’exploitation ont un concept de « connexion » plus large que simplement « l’utilisateur prend le contrôle de la console physique », et Windows ne fait pas exception : l’accès réseau entrant via SMB ou SSH implique une connexion, les tâches planifiées qui utilisent votre compte impliquent une connexion, etc.</p>
<p>Le champ <code>Logon Type</code> de l’événement indique <code>5</code>, ce qui signifie le type de connexion <code>Service</code> (voir les <a href="https://learn.microsoft.com/en-us/windows/win32/api/ntsecapi/ne-ntsecapi-security_logon_type">valeurs</a> et les <a href="https://learn.microsoft.com/en-us/windows-server/identity/securing-privileged-access/reference-tools-logon-types">significations</a>) – c’est très probablement associé au démarrage d’un service « par utilisateur » lié à votre session. Vous en verrez plusieurs dans services.msc – ils ont tous des noms ressemblant à « CaptureService_2969d » avec un identifiant de session hexadécimal à la fin.</p>
<p>Les connexions locales auraient le type <code>2</code> pour <code>Interactive</code>.</p>
