Я вижу следующие данные для события.
An account was logged off Security ID S-1-5-90-0-10
account name DWM-10 at 00:01:24
DWM-9 at 00:01:36
Security Id S-1-5-96-0-9
UMFD-9 at 00:01:36 logged off
Пожалуйста, объясните, что это значит, особенно когда я не вошел в систему?
S-1-5-96-0-9
S-1-5-90-0-10
Оба эти пользователя являются известными системными учетными записями. В этом случае S-1-5 принадлежит NT_AUTHORITY
SID, содержащий только полномочия идентификатора SECURITY_NT_AUTHORITY.
Источник: Хорошо известные структуры SID
Пожалуйста, объясните, что это значит, особенно когда я не вошел в систему?
Ничего необычного не случилось.
Учетные записи, начинающиеся с S-1-5-90-0 (имена учетных записей DWM-x), создаются на лету компонентом Desktop Window Manager для его системных служб.
Учетные записи, начинающиеся с S-1-5-96-0 (имена учетных записей UMFD-x), создаются на лету компонентом User Mode Driver Framework для его системных служб.
(Обычные учетные записи пользователей начинаются с S-1-5-21.)
Поведение, которое вы наблюдаете, совершенно нормально.