具有NULL SID的Microsoft-Windows-Security-Auditing事件是什么意思？

在Windows Server 2012计算机上，在事件查看器中，系统上出现了一些不寻常的行为，服务正在停止，我不确定自己是“自行停止”还是被用户操作强制停止。 所以我去了Windows logs | Security eventvwr.msc Windows logs | Security区域，我没有看到任何普通用户的login，但是我看到一个重复以下types的模式：

 Log Name: Security Source: Microsoft-Windows-Security-Auditing Task Category: Logon Level: Information Keywords: Audit Success User: N/A Description: An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Impersonation Level: Impersonation New Logon: Security ID: SYSTEM Logon GUID: {a7...} LogonProcessName: Kerberos 

我假设这意味着服务引导到SYSTEM上下文中，并且事件日志中引用的NULL SID只是某些未经身份validation的系统或内核或服务代码的初始状态。 我的解释是正确的还是这个东西？

从login进程名称，我认为这是Microsoft Kerberos服务。

• AVR Boost Active（APCPBEAgen）警告Windows Server 2012事件日志
• 将`应用程序和服务日志`转发为SNMP陷阱
• 应用程序事件日志源：SideBySide，事件ID：35 Lync.exe.Manifest错误
• Windows XP事件日志大小的推荐设置
• 在Vista中的特殊login