ログオンの監査

適用対象

  • Windows 10
  • Windows Server 2016

Audit Logon は、ユーザーがコンピューターにログオンしようとするときに、オペレーティング システムが監査イベントを生成するかどうかを決定します。

これらのイベントはログオン セッションの作成に関連し、アクセスされたコンピューターで発生します。 対話型ログオンの場合、ログオンしたコンピューターでイベントが生成されます。 共有へのアクセスなどのネットワーク ログオンでは、アクセスされたリソースをホストするコンピューターでイベントが生成されます。

次のイベントが記録されます。

  • ログオンの成功と失敗。

  • 明示的な資格情報を使用してログオンを試みる。 このイベントは、プロセスがアカウントの資格情報を明示的に指定してアカウントにログオンしようとするときに生成されます。 最も一般的に発生するのは、スケジュールされたタスクなどのバッチ構成、または RunAs コマンドを使用する場合 です。

  • セキュリティ識別子 (SID) はフィルター処理されます。

ログオン イベントは、ユーザーのアクティビティを追跡し、潜在的な攻撃を検出するために不可欠です。

イベント ボリューム:

  • クライアント コンピューターでは低。

  • ドメイン コントローラーまたはネットワーク サーバー上のメディア。

コンピューターの種類 一般的な成功 一般的なエラー より強力な成功 より強力なエラー コメント
ドメイン コントローラー あり あり あり あり たとえば、ログオン イベントを監査すると、このコンピューターにログオンしたコンピューターのログオンの種類を使用するアカウントに関する情報が表示されます。
エラー イベントには、ログオン試行に失敗した理由と、これらの試行が失敗した理由が表示されます。
メンバー サーバー あり あり あり あり たとえば、ログオン イベントを監査すると、このコンピューターにログオンしたコンピューターのログオンの種類を使用するアカウントに関する情報が表示されます。
エラー イベントには、ログオン試行に失敗した理由と、これらの試行が失敗した理由が表示されます。
ワークステーション あり あり あり あり たとえば、ログオン イベントを監査すると、このコンピューターにログオンしたコンピューターのログオンの種類を使用するアカウントに関する情報が表示されます。
エラー イベントには、ログオン試行に失敗した理由と、これらの試行が失敗した理由が表示されます。

イベントリスト:

  • 4624(S): アカウントが正常にログオンしました。

  • 4625(F): アカウントのログオンに失敗しました。

  • 4648(S): 明示的な資格情報を使用してログオンが試行されました。

  • 4675(S): SID がフィルター処理されました。