System administration

How to understand these actions?

Good afternoon! There is a servacheg on windows server 2008 R2. Port 3389 was open there and, accordingly, there were a lot of brute and hacking attempts. With all the logs, it is simple and clear who is from where and why, except for one:

Вход с учетной записью выполнен успешно.

Субъект:
  ИД безопасности:		NULL SID
  Имя учетной записи:		-
  Домен учетной записи:		-
  Код входа:		0x0

Тип входа:			3

Новый вход:
  ИД безопасности:		АНОНИМНЫЙ ВХОД
  Имя учетной записи:		АНОНИМНЫЙ ВХОД
  Домен учетной записи:		NT AUTHORITY
  Код входа:		0x15881cd
  GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
  Идентификатор процесса:		0x0
  Имя процесса:		-

Сведения о сети:
  Имя рабочей станции:	UNO2178A
  Сетевой адрес источника:	202.39.254.231
  Порт источника:		59913

Сведения о проверке подлинности:
  Процесс входа:		NtLmSsp 
  Пакет проверки подлинности:	NTLM
  Промежуточные службы:	-
  Имя пакета (только NTLM):	NTLM V1
  Длина ключа:		128

and then after 3 seconds this is the log:

Выполнен выход учетной записи из системы.

Субъект:
  ИД безопасности:		АНОНИМНЫЙ ВХОД
  Имя учетной записи:		АНОНИМНЫЙ ВХОД
  Домен учетной записи:		NT AUTHORITY
  Код входа:		0x15881cd

Тип входа:			3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

That is, as I understand it, someone tried to log in as an anonymous user and the system killed him, or what does this even mean? Thanks to all. I have already added a server to vpn.