FYI, от того, что тему переместили в избу болтальную, вы много не потеряли. Мы обычно отслеживаем все разделы, так как форум маленький, да и новички постоянно постят не туда.

Если вы про Код входа / SubjectLogonId в событиях аудита входа, то это произвольный идентификатор, присваиваемый сеансу входа, уникальный в пределах одного запуска системы (до перезагрузки). Он служит, чтобы выделить события, относящиеся к одному сеансу входа из общего потока событий в этом журнале (если параллельно было несколько попыток входа, чтобы понимать что к чему относится).  С SID он напрямую никак не связан. А "Тип входа", видимо, соответствует этому перечислению, например 2 - интерактивный, 5 - служба и т.п.

Подробнее можете посмотреть в документации: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-logon 

Это не константа, просто для служебного аккаунта SYSTEM почему-то всегда выбирается одно значение. Для "человеческих" учетных записей Logon ID каждый раз генерируется разный, по моим наблюдениям.

Да, можно считать его "Session Id", в каком-то смысле, но он служит только для упрощения восприятия журнала событий. Никакой другой функции он не выполняет. Реальный идентификатор - это SubjectUserSid

 

По вопросам выявления "нелигитимного" трафика лучше спросите на специализированных форумах по администрированию или компьютерной безопасности. Если события из журнала безопасности были стерты без вашего ведома то да, это несомненно подозрительно.